Bedrijven geven in jaarverslagen beperkt inzicht in cyberrisico’s
Uit het internationale onderzoek dat KPMG jaarlijks uitvoert onder 800 beursgenoteerde ondernemingen blijkt dat bijna 60% in zijn jaarverslag geen enkele melding maakt van de risico’s die het bedrijf als gevolg van cybercrime loopt. Eén op de vier bedrijven wijdt tenminste één paragraaf in het jaarverslag aan de maatregelen die zij nemen om de organisatie te beschermen tegen internetaanvallen. Slechts 20% van de bedrijven positioneert cyberbeveiliging als een verantwoordelijkheid van het bestuur in het jaarverslag.
Nederland doet het relatief goed
Nederland doet het vergeleken met andere landen relatief goed. In Nederland is cyberveiligheid bij vier keer zoveel bedrijven expliciet in de bestuurskamer belegd dan in het buitenland. “De aandacht die de Nederlandse overheid nu al een aantal jaren besteedt aan cyberveiligheid heeft zijn uitwerking op het Nederlandse bedrijfsleven niet gemist”, constateert Ben Krutzen, partner bij KPMG Cyber. Krutzen: “Toch lijkt de aandacht wat te verslappen. De verslaggeving over cyber stokt en nog altijd geeft één op de tien bedrijven geen inzicht in de risico’s. En we zien dat cyberveiligheid nog altijd een uitdagend onderwerp is voor veel bestuurders. Zij zien cyber veelal als een verantwoordelijkheid van de IT-afdeling en zijn in het algemeen niet in staat om de juiste kritische vragen te stellen. Het valt op dat met name de klassieke preventieve maatregelen, zoals het vergroten van het bewustzijn voor de risico’s, veel aandacht krijgen in de jaarverslagen. Dat staat in schril contrast met de bewegingen in de markt. Daar zien we dat detectieve maatregelen de boventoon voeren.”
Europese bedrijven transparanter
Uit het onderzoek van KPMG blijkt dat bedrijven in Europa in hun jaarverslag transparanter zijn over cyberrisico’s dan ondernemingen in andere delen van de wereld. Vooral bedrijven in West- en Zuid-Europa geven in het algemeen uitgebreide informatie over cyberveiligheid. “De hogere waarde die IT in deze bedrijven vertegenwoordigt is hiervoor een mogelijke verklaring”, zegt Krutzen. Krutzen: “Maar ook de uitgebreidere IT-infrastructuur die deze bedrijven hanteren, speelt mogelijk een rol. Hierdoor zijn zij interessante doelwitten voor internetcriminelen die misbruik maken van hun snelle internetverbindingen en staat ook de beveiliging hoger op de agenda.”
Relatie tussen omzet en aandacht voor cyber
“Bestuursverantwoordelijkheid is duidelijk van invloed op de mate waarin bedrijven in het jaarverslag inzicht geven in cyberbeveiliging”, zegt Krutzen. Krutzen: “Het is opvallend dat vooral het bestuur van kleine bedrijven met een omzet van zo’n € 20 miljoen en de hele grote bedrijven met zo’n € 200 miljard omzet meer dan gemiddeld aandacht besteden aan cyberbeveiliging. Binnen Europa varieert de bestuursverantwoordelijkheid aanzienlijk. Het onderzoek laat zien dat er een duidelijke relatie is tussen omzet en de aandacht voor cyber. Als de omzet toeneemt, groeit de aandacht voor cyberveiligheid en neemt de verantwoordelijkheid van het bestuur toe.”
Eenzijdige verantwoordelijkheid IT-afdeling
De weerbaarheid tegen cybercrime wordt volgens Krutzen nog altijd gezien als een eenzijdige verantwoordelijkheid van de IT-afdeling. Krutzen: “En dat is vreemd. Want bedrijven zijn in toenemende mate afhankelijk van hun IT om hun klanten online producten en diensten te kunnen leveren. De grootste uitdaging hierbij is om op basis van het risicoprofiel van de organisatie de juiste afwegingen voor de beveiliging te maken. Daarbij helpt het om veel bewuster te zijn van de risico’s die internetcriminaliteit heeft voor zowel de bedrijfsvoering als de klant.”