Beursgenoteerde bedrijven niet transparant over cybersecurity

Ondanks de sterk groeiende aandacht voor cyberveiligheid reppen veel Nederlandse beursgenoteerde ondernemingen dit jaar niet over de maatregelen die zij nemen om hun digitale veiligheid te garanderen. Alleen Ahold, Unibail-Rodamco, Akzo-Nobel en Van Lanschot melden zes of meer specifieke cybersecuritymaatregelen. Dat blijkt uit de Cyber Security Annual Report (CSAR) Index die is opgesteld door mr. dr. ir. Bernold Nieuwesteeg en mr. dr. Eva Eijkelenboom, van Erasmus School of Law. 

Grote verschillen in transparantie over cybersecurity

Nederland is in grote mate gedigitaliseerd. Dat er grote verschillen bestaan in de mate van transparantie over cybersecurity is dan ook opvallend, omdat de impact van suboptimale digitale veiligheid al jaren het nieuws domineert. Zo bleek in februari van dit jaar dat Nederland het hoogste risico op cybercriminaliteit in Europa loopt als het gaat om aanvallen op Microsoft Azure. Bovendien betrekken beleggers steeds vaker cyberrisico’s van een onderneming in hun beleggingsbeslissingen.

Transparantie waardevol

De verschillen zouden volgens rechtseconomisch onderzoek verklaard kunnen worden door het ontbreken van een verplichting om transparant te zijn over cybersecurity in de jaarlijkse verslaggeving. Ondanks het ontbreken van wetgeving menen Nieuwesteeg en Eijkelenboom dat de voordelen van transparantie opwegen tegen de nadelen. Want hoewel transparantie over cybersecurity niet overeen hoeft te komen met het werkelijke niveau van cybersecurity is dit wel de informatie waar investeerders hun beslissingen op baseren. Bovendien kan transparantie over en aandacht voor cybersecurity zorgen een zogenoemd trickle-down effect waardoor de hele organisatie meer bewust wordt van cybersecurityrisico’s.

Bedrijfsmaatregelen voor cybersecurity lopen uiteen

Iets meer dan de helft (53%) van de beursgenoteerde ondernemingen in de AEX, AMX en AScX index geeft dus wel specifieke informatie over maatregelen op het gebied van cybersecurity. De ondernemingen reppen bijvoorbeeld over de benoeming van een information security officer, interne regels die gelden en de organisatie van cybersecurity awareness campagnes en workshops.