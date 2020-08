Een groot deel van de Nederlandse beursgenoteerde bedrijven ziet cybersecurity als een risico, maar bijna de helft is niet duidelijk over welke specifieke maatregelen op dat gebied zijn genomen. Erasmus School of Law concludeert in het onderzoek Cyber Security Annual Report, wat dit jaar voor het eerst is opgesteld, dat bijna 47 procent van de bedrijven niet transparant is over cybersecurity.

Mr. dr. ir. Bernold Nieuwesteeg, een van de initiatiefnemers van het onderzoek, ziet vooral voordelen van transparantie over cybersecurity in het jaarverslag. “Op het moment dat je cybersecurity in het jaarverslag gaat benoemen, krijgt het ook gewicht in de organisatie. Je zorgt voor awareness over het thema in de rest van het bedrijf.”

Inzicht in beveiliging

Het geeft institutionele beleggers of investeerders bovendien inzicht in hoe goed een bedrijf zijn beveiliging heeft geregeld. Dat zegt volgens Nieuwesteeg ook iets over de interne kwaliteitsbeheersing. “Als een bedrijf er twee tot drie weken uit ligt, bijvoorbeeld door een security-incident, heeft dat heel nadelige gevolgen voor de omzet. Als institutionele belegger let je daar op. En een jaarverslag is één van de middelen om je daarover te laten informeren.”

Het is, zo zegt, Nieuwesteeg, niet goed om te spreken over cyberincidenten die nog niet zijn opgelost. “Maar een jaarverslag verschijnt vier maanden na de afsluiting van een boekjaar, dan mag je hopen dat er toch wel over maatregelen gesproken kan worden.” Ook het argument dat het de concurrent zou helpen, gaat volgens hem niet op. “Bedrijven concurreren niet op security. En als bedrijf hoef je niet te rapporteren wat je zou kunnen schaden, je hoeft niet volledig transparant te zijn.”

Van elkaar leren

Hij denkt dat organisaties elkaar juist kunnen helpen door transparant te zijn over securitymaatregelen. “Zo kunnen bedrijven van elkaar leren. Het helpt dus om het algemene niveau van de cybersecurity omhoog te brengen. En dat is goed voor de maatschappij als geheel.”

Bedrijven kunnen verschillende maatregelen nemen en deze opnemen in het jaarverslag. Welke maatregelen genoemd moeten worden, hangt af van het bedrijf. Nieuwesteeg: “Een bedrijf waarvoor data heel belangrijk is, kan het beste melden hoe de bescherming van data is geregeld. Een bedrijf waarvoor ICT belangrijk is voor de dienstverlening, meldt hoe het zich verdedigt tegen DDoS of ransomware.” Volgens Nieuwesteeg is het ook belangrijk dat de effectiviteit van de maatregel wordt gerapporteerd.