Ondanks de sterk groeiende aandacht voor cyberveiligheid reppen veel Nederlandse beursgenoteerde ondernemingen dit jaar niet over de maatregelen die zij nemen om hun digitale veiligheid te garanderen. Dat blijkt uit de Cyber Security Annual Report (CSAR) Index die is opgesteld door mr. dr. ir. Bernold Nieuwesteeg en mr. dr. Eva Eijkelenboom, van Erasmus School of Law. Meest transparant over cybersecuritymaatregelen zijn Ahold, Unibail-Rodamco, Akzo-Nobel en Van Lanschot.
Opvallendste resultaten:
- 47% beursgenoteerde bedrijven niet transparant over cybersecurity. Specifieke informatie over cybersecurity maatregelen ontbreekt in jaarverslag over 2018.
- Alleen Ahold, Unibail-Rodamco, Akzo-Nobel en Van Lanschot melden zes of meer specifieke cybersecuritymaatregelen
Grote verschillen in transparantie over cybersecurity
Nederland is in grote mate gedigitaliseerd. Dat er grote verschillen bestaan in de mate van transparantie over cybersecurity is dan ook opvallend, omdat de impact van suboptimale digitale veiligheid al jaren het nieuws domineert. Zo bleek in februari van dit jaar dat Nederland het hoogste risico op cybercriminaliteit in Europa loopt als het gaat om aanvallen op Microsoft Azure. Bovendien betrekken beleggers steeds vaker cyberrisico’s van een onderneming in hun beleggingsbeslissingen.
Transparantie waardevol
De verschillen zouden volgens rechtseconomisch onderzoek verklaard kunnen worden door het ontbreken van een verplichting om transparant te zijn over cybersecurity in de jaarlijkse verslaggeving. Ondanks het ontbreken van wetgeving menen Nieuwesteeg en Eijkelenboom dat de voordelen van transparantie opwegen tegen de nadelen. Want hoewel transparantie over cybersecurity niet overeen hoeft te komen met het werkelijke niveau van cybersecurity is dit wel de informatie waar investeerders hun beslissingen op baseren. Bovendien kan transparantie over en aandacht voor cybersecurity zorgen een zogenoemd trickle-down effect waardoor de hele organisatie meer bewust wordt van cybersecurityrisico’s.
Bedrijfsmaatregelen voor cybersecurity lopen uiteen
Iets meer dan de helft (53%) van de beursgenoteerde ondernemingen in de AEX, AMX en AScX index geeft dus wel specifieke informatie over maatregelen op het gebied van cybersecurity. De ondernemingen reppen bijvoorbeeld over de benoeming van een information security officer, interne regels die gelden en de organisatie van cybersecurity awareness campagnes en workshops.
- Meer informatie
De Cyber Security Annual Report index is een samenwerking tussen het Centre for the Law and Economics of Cyber Security (CLECS) en het International Centre for Financial Law & Governance (ICFG) , van Erasmus School of Law. Beide centra organiseren hoogwaardig toegepast en fundamenteel onderzoek.