Op 15 april 2022 hebben Bernold Nieuwesteeg, directeur van het Centre for Law and Economics of Cyber Security (CLECS), en Willem Kuijken, onderzoeksassistent bij het CLECS, een reactie ingediend over de herziening van de Corporate Governance Code (hierna: Code). De Monitoring Commissie streeft naar deze herzieningen om de Code actueel, toekomstgericht en relevant te houden. In hun reactie pleitten Nieuwesteeg en Kuijken dat cybersecurity, en in het bijzonder transparantie omtrent dit onderwerp, een belangrijkere rol moet gaan spelen binnen de Code. Hierover spraken zij ook met Tweede Kamerlid Henri Bontenbal.
De Corporate Governance Code
De Code bevat richtlijnen voor de verhoudingen tussen het bestuur, de raad van commissarissen en de aandeelhouders van een organisatie. De Monitoring Commissie bevordert de actualiteit en bruikbaarheid van de Code en bewaakt de naleving ervan. Uit gesprekken die de Commissie heeft gevoerd met belanghebbenden, bleek dat er behoefte bestaat aan bijstelling van de Code op het terrein van lange termijn waarde creatie, diversiteit en de rol van de aandeelhouders.
Naar aanleiding van deze bevindingen heeft de Commissie op 21 februari 2022 een consultatiedocument met voorstellen voor de actualisatie van de Code gepubliceerd. Dit vormde het startsein voor geïnteresseerden om een reactie uit te brengen omtrent de actualisatie van de Code. Een van de ingezonden reacties komt van Nieuwesteeg en Kuijken, die pleitten voor meer transparantie omtrent cybersecurity in de Code.
Meer transparantie meer baten
Nieuwesteeg en Kuijken noemen verschillende redenen voor meer transparantie omtrent cybersecurity. Allereerst levert het zowel vennootschappelijke als maatschappelijke baten op voor de organisatie. Zo kan transparantie voordelen hebben voor de relatie die de vennootschap heeft met potentiële investeerders en klanten. Ook de relatie met regelgevende instanties, zoals de Autoriteit Persoonsgegevens, kan door transparantie verbeterd worden. Tot slot zorgt het er ook voor dat meer bewustwording wordt gecreëerd voor cyberrisico’s.
Naast de argumenten voor het vennootschappelijke en maatschappelijke belang, worden in de reactie bestaande wettelijke verplichtingen en ontwikkelingen in het buitenland besproken. Nieuwesteeg en Kuijken sluiten af met suggesties voor de herziende Code. Hierbij onderstrepen ze dat het van belang is dat de transparantie en duidelijke richtlijnen ook dienen te zorgen voor eenduidigheid in rapportage. Nieuwesteeg en Kuijken stellen daarbij voor dat de mate waarin bedrijven hun cybersecurity op orde hebben kan worden gemeten op basis van drie thema’s: de interne governance, de externe kennisdeling en leiderschap, en een omschrijving en de wijze van afdekking van het cyberrisico voor het betreffende bedrijf.
Belangstelling vanuit de politiek
Na de inzending van de reactie hebben Nieuwesteeg en Kuijken een gesprek gehad met Tweede Kamerlid Henri Bontenbal. In dit gesprek is de ingediende reactie besproken en beantwoordden de twee onderzoekers algemene vragen van Bontenbal over cybersecurity. Nieuwesteeg en Kuijken kijken met een goed gevoel terug op het gesprek: “Fantastisch om te zien hoe er een wisselwerking tussen politiek, maatschappij en wetenschap ontstaat op het belangrijke gebied van cybersecuritytransparantie”
Het streven van de Commissie is om de herziening van de Code dit jaar nog vast te stellen en aan het kabinet te sturen. De Code zou dan in werking kunnen treden vanaf 1 januari 2023. Bontenbal heeft aangegeven de input van Nieuwesteeg en Kuijken mee te nemen in de komende Tweede Kamer vergaderingen die zien op cybersecurity.
- Onderzoeker
- Meer informatie
Meer informatie over de functie van de Corporate Governance Code en de Monitoring Commissie.
Meer informatie over de nieuwe voorstellen voor het actualiseren van de Corporate Governance Code.
Meer informatie over de reactie van Nieuwesteeg en Kuijken op het consultatiedocument van de Monitoring Commissie.