Cybersecurity is in toenemende mate een prominent thema in jaarverslagen. Hoe waardevol is deze informatie?

Transparantie: Hoe en waarover?

Niet alle informatie in het cybersecurity-informatie in jaarverslagen is even relevant voor stakeholders. Op basis van een reactie op de herziening van de Corporate Governance Code1 is er in dit onderzoek gelet op drie thema’s waarover transparantie erg waardevol kan zijn:

• Interne governance. Dit behelst het proces met betrekking tot de interne rapportage. Op welke wijze wordt gerapporteerd aan het bestuur? En aan wie binnen het bestuur?
• Externe kennisdeling en leiderschap. Op welke wijze deelt de vennootschap kennis over cybersecurity naar externe stakeholders, bijvoorbeeld in de keten?
• Het cyberrisico. Een omschrijving van de ordegrootte van cyberrisico en de wijze waarop het risico is afgedekt.

De jaarverslagen zijn beoordeeld op basis van zowel een kwantitatieve als kwalitatieve analyse op deze punten. De beste scores werden toebedeeld aan WoltersKluwer, ASM International en Arcadis.

Belangrijkste resultaten

• (Blijvende) vooruitgang afdekking cyberrisico en interne governance: Uit het meest recente onderzoek blijkt dat er met betrekking tot de eerste twee thema’s positieve resultaten zijn geboekt. Zo waren er de afgelopen twee jaargangen veel meer maatregelen in de jaarverslagen te vinden dan voorheen en heeft de stijging van het aantal jaarverslagen waarin cyber als onderdeel van bestuursvergaderingen staat beschreven zich doorgezet. Ook lijkt cyber steeds meer een “chefsache”: in vergelijking met de vorige jaargang is het percentage bedrijven waarin een bestuurder of commissaris cybersecurity als speciaal aandachtsgebied had toegenomen van 20 tot 24 procent.
• Externe kennisdeling en cijfers zijn achterblijvers: Tegenover deze positieve ontwikkelingen staat wel dat bedrijven nauwelijks informatie delen over wat zij aan externe kennisdeling doen door het jaar heen. Hiernaast ontbreken in vrijwel alle jaarverslagen “cijfers” over -de afdekking van- het cyberrisico. In geen enkel jaarverslag in de afgelopen jaargang werd informatie over de financiën van cybersecurity maatregelen gevonden en ook concrete schattingen over de kans dat bijvoorbeeld een cyberaanval optreedt bleven doorgaans achterwege. Dit is teleurstellend omdat meer transparantie over deze onderwerpen bedrijven kan helpen beter gefundeerde kosten-baten afwegingen over mogelijke cybersecuritymaatregelen te maken.
• Verschillende maatregelen of verschillende beschrijvingen?: Tot slot viel het op dat de meerderheid van de maatregelen maar slechts één keer in de jaarverslagen werd genoemd. Dit kan erop wijzen dat bedrijven veel verschillende maatregelen gebruiken maar het zou ook kunnen dat bedrijven hun maatregelen gewoon heel verschillend beschrijven. Een grote uiteenloop in beschrijvingen kan het stakeholders bemoeilijken zinvolle informatie uit de jaarverslagen op te nemen.

Over de Cyber Security Annual Report Index

De Cyber Security Annual Report index is een samenwerking tussen het Centre for the Law and Economics of Cyber Security (CLECS) en het International Centre for Financial Law & Governance (ICFG), van Erasmus School of Law. Beide centra organiseren hoogwaardig toegepast en fundamenteel onderzoek. *De CSAR 2022 analyseert de jaarverslagen van 2021.