Cyberveiligheid zou chefsache moeten zijn, vindt Bernold Nieuwesteeg, directeur van het Centre for Law & Economics of Cyber Security van de Erasmus Universiteit. Maar in plaats daarvan houden bedrijven in jaarverslagen de kaarten tegen de borst als het om cyber gaat.
Nieuwesteeg analyseert al enkele jaren met een team de jaarverslagen van beursgenoteerde ondernemingen op het gebied van transparantie over cybersecurity. En dat levert geen gunstig beeld op. Als er al informatie wordt genoemd, zijn het gegevens waar de lezer weinig mee kan. Er is dan ook geen gezonde uitwisseling van informatie tussen ondernemingen en externe stakeholders en bedrijven met slechte cyberveiligheid komen er gewoon mee weg, concluderen de onderzoekers.
Een op tien zwijgt over cyber
De meest recente versie van het onderzoek – de Cyber Security Annual Report (CSAR) Index – dateert van vorig jaar en concludeerde dat Post NL, Wolters Kluwer en Prosus het meest open zijn over hun cybersecuritybeleid. Over het algemeen was toen de transparantie sterk toegenomen: 36 bedrijven meldden zes of meer specifieke cybersecuritymaatregelen, tegen nog vier in 2020. Nog altijd een op de tien jaarverslagen gaf helemaal geen cyber-informatie.
Rapportageverplichtingen
Chefsache, zoals Nieuwesteeg dat noemt, is het nog niet bepaald: slechts een op de vijf bedrijven heeft een bestuurder of commissaris die cybersecurity als aandachtsgebied heeft. Hij pleit ervoor om net als bij duurzaamheidsverslaggeving regels te gaan voorschrijven voor het informeren over cyberveiligheid. ‘Ook de Nederlandse wetgever moet aan de slag met het harmoniseren van rapportageverplichtingen over cybersecurity. Investeerders hebben behoefte aan informatie omtrent de interne governance van cybersecurity, het cyberrisico en de afdekking ervan. De maatschappij heeft behoefte aan kennisdeling’, schrijft hij in het FD.
Geef een reactie