Cybersecurity staat slechts bij één op de vijf bedrijven hoog op de agenda

Toenemende transparantie

Transparantie over cybersecurity is over het algemeen sterk toegenomen, 36 bedrijven melden zes of meer specifieke cybersecuritymaatregelen, waar dit in de CSAR-index van 2020 slechts vier bedrijven betrof (Ahold, Unibail-Rodamco, Akzo-Nobel en Van Lanschot). Van de beursgenoteerde ondernemingen delen Post-NL, Wolters Kluwer en Prosus het meest uitgebreid over hun cyberbeleid. Ook in de jaarverslagen is de transparantie sterk toegenomen. In 2020 ontbrak bij bijna de helft van de bedrijven informatie over cybersecurity, nu is dat slechts bij tien procent van de beurgenoteerde bedrijven het geval.

Verplichte IT-audit

Hoewel de transparantie toeneemt, lijkt cybersecurity bij veel bedrijven nog geen hoofdzaak. Uit de jaarverslagen blijkt dat slechts één op de vijf van de onderzochte bedrijven een bestuurder of commissaris heeft die cybersecurity als focuspunt heeft. De CSAR-Index 2021 toont dat een actuele discussie over een verplichte IT-audit een mooie stap zou zijn. Onlangs, was er nog stevige kritiek van cyberbeveiligers op het plan voor een jaarlijkse audit. Het recente pleidooi van IT-auditors is, dat er meer transparantie moet zijn over cybersecurity. De CSAR-Index toont aan dat de markt in rap tempo meer transparant wordt betreffende cybersecurity.

Impact van cyberaanvallen

De impact van niet geoptimaliseerde (digitale) veiligheid domineert al jaren het nieuws. Afgelopen zomer waren de ransomware-aanvallen bij de bedrijven Colonial Pipeline en Kaseya hot topic. Dat er grote verschillen bestaan in de mate van transparantie over cybersecurity is dan ook opvallend. Met name omdat beleggers steeds vaker cyberrisico’s van een onderneming in hun beleggingsbeslissingen betrekken. 

Informatie voor de investeerder

De verschillen kunnen volgens onderzoek verklaard worden door het gebrek van verplichting tot transparantie betreffende cybersecurity in de jaarlijkse verslaggeving. Ondanks het ontbreken van wetgeving menen Nieuwesteeg en Eijkelenboom dat de voordelen van transparantie opwegen tegen de nadelen. Hoewel transparantie over cybersecurity niet overeen hoeft te komen met het werkelijke niveau van cybersecurity is dit wel de informatie waar investeerders hun beslissingen op baseren. Bovendien kan transparantie over en aandacht voor cybersecurity zorgen een zogenoemde trickle-down effect waardoor de hele organisatie meer bewust wordt van cybersecurityrisico’s.

Bedrijfsmaatregelen voor cybersecurity lopen uiteen

92 procent van de beursgenoteerde ondernemingen in de AEX, AMX en AScX index geeft wel specifieke informatie over maatregelen op het gebied van cybersecurity. Dit is een flinke toename ten opzichte van de 53 procent in 2020. De ondernemingen spreken bijvoorbeeld over de benoeming van een Information Security Officer, interne regels die gelden en de organisatie van cybersecurity awareness campagnes en workshops. 

Over de Cyber Security Annual Report index

De Cyber Security Annual Report Index is een samenwerking tussen het Centre for the Law and Economics of Cyber Security (CLECS) en het International Centre for Financial Law & Governance (ICFG), van Erasmus School of Law. Beide centra organiseren hoogwaardig toegepast en fundamenteel onderzoek. *De CSAR-index 2020 analyseert de jaarverslagen over 2018 waar de CSAR-index 2021 de jaarverslagen over 2020 analyseert. De CSAR-index 2022 zal de jaarverslagen van 2021 onder de loep nemen.