Meerderheid beursgenoteerde bedrijven geeft geen inzicht in cyberrisico’s

Bijna 60% van de beursgenoteerde bedrijven maakt in zijn jaarverslag geen enkele melding van de risico’s die het bedrijf als gevolg van cybercrime loopt. Eén op de vier bedrijven wijdt tenminste één paragraaf in het jaarverslag aan de maatregelen die zij nemen om de organisatie te beschermen tegen internetaanvallen. Slechts 20% van de bedrijven positioneert cyberbeveiliging als een verantwoordelijkheid van het bestuur in het jaarverslag.

Dit blijkt uit een internationaal onderzoek dat KPMG jaarlijks uitvoert onder 800 beursgenoteerde ondernemingen. Nederland doet het vergeleken met andere landen relatief goed. In Nederland is cyberveiligheid bij vier keer zoveel bedrijven expliciet in de bestuurskamer belegd dan in het buitenland. “De aandacht die de Nederlandse overheid nu al een aantal jaren besteedt aan cyberveiligheid heeft zijn uitwerking op het Nederlandse bedrijfsleven niet gemist”, constateert Ben Krutzen, partner bij KPMG Cyber.

‘Aandacht verslapt’

Krutzen: “Toch lijkt de aandacht wat te verslappen. De verslaggeving over cyber stokt en nog altijd geeft één op de tien bedrijven geen inzicht in de risico’s. En we zien dat cyberveiligheid nog altijd een uitdagend onderwerp is voor veel bestuurders. Zij zien cyber veelal als een verantwoordelijkheid van de IT-afdeling en zijn in het algemeen niet in staat om de juiste kritische vragen te stellen.

Opvallend is dat met name de klassieke preventieve maatregelen, zoals het vergroten van het bewustzijn voor de risico’s, veel aandacht krijgen in de jaarverslagen. Dat staat in schril contrast met de bewegingen in de markt. Daar zien we dat detectieve maatregelen de boventoon voeren.”

Europese bedrijven zijn relatief transparant

Uit het onderzoek van KPMG blijkt dat bedrijven in Europa in hun jaarverslag transparanter zijn over cyberrisico’s dan ondernemingen in andere delen van de wereld. Vooral bedrijven in West- en Zuid-Europa geven in het algemeen uitgebreide informatie over cyberveiligheid. “De hogere waarde die IT in deze bedrijven vertegenwoordigt is hiervoor een mogelijke verklaring”, zegt Krutzen.

Krutzen: “Maar ook de uitgebreidere IT-infrastructuur die deze bedrijven hanteren, speelt mogelijk een rol. Hierdoor zijn zij interessante doelwitten voor internetcriminelen die misbruik maken van hun snelle internetverbindingen en staat ook de beveiliging hoger op de agenda.”

Invloed van bestuursverantwoordelijkheid

“Bestuursverantwoordelijkheid is duidelijk van invloed op de mate waarin bedrijven in het jaarverslag inzicht geven in cyberbeveiliging”, zegt Krutzen. Krutzen: “Het is opvallend dat vooral het bestuur van kleine bedrijven met een omzet van zo’n € 20 miljoen en de hele grote bedrijven met zo’n € 200 miljard omzet meer dan gemiddeld aandacht besteden aan cyberbeveiliging.

Binnen Europa varieert de bestuursverantwoordelijkheid aanzienlijk. Het onderzoek laat zien dat er een duidelijke relatie is tussen omzet en de aandacht voor cyber. Als de omzet toeneemt, groeit de aandacht voor cyberveiligheid en neemt de verantwoordelijkheid van het bestuur toe.”

Eenzijdige verantwoordelijkheid IT-afdeling

‘Verantwoordelijkheid van de IT-afdeling’

De weerbaarheid tegen cybercrime wordt volgens Krutzen nog altijd gezien als een eenzijdige verantwoordelijkheid van de IT-afdeling. Krutzen: “En dat is vreemd. Want bedrijven zijn in toenemende mate afhankelijk van hun IT om hun klanten online producten en diensten te kunnen leveren. De grootste uitdaging hierbij is om op basis van het risicoprofiel van de organisatie de juiste afwegingen voor de beveiliging te maken. Daarbij helpt het om veel bewuster te zijn van de risico’s die internetcriminaliteit heeft voor zowel de bedrijfsvoering als de klant.”

Slechts 20% van de onderzochte bedrijven beschouwt cyberbeveiliging als een verantwoordelijkheid van de Raad van Bestuur.