Rechtseconomisch onderzoek toont aan dat transparantie over cybersecurity zeer waardevol kan zijn. Zo kunnen bedrijven veel leren van elkaars gerapporteerde maatregelen. In Nederland ontbreekt echter een verplichting om transparant te zijn over cybersecurity in het jaarverslag. Toch is in vergelijking met de jaarverslagen uit 2018 en 2019 cybersecurity in de berichtgeving van beursgenoteerde bedrijven over 2020 en 2021 een veel prominenter thema. Zo blijkt uit de Cyber Security Annual Report (CSAR) Index van de Erasmus Universiteit Rotterdam dat onder andere het aantal gerapporteerde maatregelen sterk is toegenomen. Voor stakeholders en potentiële investeerders is echter niet zozeer van belang dat er gerapporteerd wordt, maar voornamelijk wat er gerapporteerd wordt. Op enkele punten laten de resultaten erg positieve ontwikkelingen zien, maar er zijn ook punten waarop de berichtgeving van bedrijven nog kan verbeteren.
Transparantie: Hoe en waarover?
Niet alle informatie in het cybersecurity-informatie in jaarverslagen is even relevant voor stakeholders. Op basis van een reactie op de herziening van de Corporate Governance Code1 is er in dit onderzoek gelet op drie thema’s waarover transparantie erg waardevol kan zijn:
- Interne governance. Dit behelst het proces met betrekking tot de interne rapportage. Op welke wijze wordt gerapporteerd aan het bestuur? En aan wie binnen het bestuur?
- Externe kennisdeling en leiderschap. Op welke wijze deelt de vennootschap kennis over cybersecurity naar externe stakeholders, bijvoorbeeld in de keten?
- Het cyberrisico. Een omschrijving van de ordegrootte van cyberrisico en de wijze waarop het risico is afgedekt.
De jaarverslagen zijn beoordeeld op basis van zowel een kwantitatieve als kwalitatieve analyse op deze punten. De beste scores werden toebedeeld aan WoltersKluwer, ASM International en Arcadis.
Belangrijkste resultaten
- (Blijvende) vooruitgang afdekking cyberrisico en interne governance: Uit het meest recente onderzoek blijkt dat er met betrekking tot de eerste twee thema’s positieve resultaten zijn geboekt. Zo waren er de afgelopen twee jaargangen veel meer maatregelen in de jaarverslagen te vinden dan voorheen en heeft de stijging van het aantal jaarverslagen waarin cyber als onderdeel van bestuursvergaderingen staat beschreven zich doorgezet. Ook lijkt cyber steeds meer een “chefsache”: in vergelijking met de vorige jaargang is het percentage bedrijven waarin een bestuurder of commissaris cybersecurity als speciaal aandachtsgebied had toegenomen van 20 tot 24 procent.
- Externe kennisdeling en cijfers zijn achterblijvers: Tegenover deze positieve ontwikkelingen staat wel dat bedrijven nauwelijks informatie delen over wat zij aan externe kennisdeling doen door het jaar heen. Hiernaast ontbreken in vrijwel alle jaarverslagen “cijfers” over -de afdekking van- het cyberrisico. In geen enkel jaarverslag in de afgelopen jaargang werd informatie over de financiën van cybersecurity maatregelen gevonden en ook concrete schattingen over de kans dat bijvoorbeeld een cyberaanval optreedt bleven doorgaans achterwege. Dit is teleurstellend omdat meer transparantie over deze onderwerpen bedrijven kan helpen beter gefundeerde kosten-baten afwegingen over mogelijke cybersecuritymaatregelen te maken.
- Verschillende maatregelen of verschillende beschrijvingen?: Tot slot viel het op dat de meerderheid van de maatregelen maar slechts één keer in de jaarverslagen werd genoemd. Dit kan erop wijzen dat bedrijven veel verschillende maatregelen gebruiken maar het zou ook kunnen dat bedrijven hun maatregelen gewoon heel verschillend beschrijven. Een grote uiteenloop in beschrijvingen kan het stakeholders bemoeilijken zinvolle informatie uit de jaarverslagen op te nemen.
Over de Cyber Security Annual Report Index
De Cyber Security Annual Report index is een samenwerking tussen het Centre for the Law and Economics of Cyber Security (CLECS) en het International Centre for Financial Law & Governance (ICFG), van Erasmus School of Law. Beide centra organiseren hoogwaardig toegepast en fundamenteel onderzoek. *De CSAR 2022 analyseert de jaarverslagen van 2021.
- Onderzoeker
- Meer informatie
Voor vragen over de CSAR-Index 2021 kunt u contact opnemen met Bernold Nieuwesteeg (nieuwesteeg@law.eur.nl).