Onderzoek van het Centre for the Law and Economics of Cybersecurity (CLECS) en het International Centre for Financial Law and Governance (ICFG) van Erasmus School of Law toont aan dat nog veel beursgenoteerde bedrijven in Nederland te weinig openheid geven aangaande hun cyberveiligheid en welke stappen ze ondernemen. Deze informatie is belangrijk voor beleggers en andere belanghebbenden, aangezien zij moeten weten welke cyberrisico’s deze bedrijven lopen. Rens Hoogerwaard, onderzoeker bij het CLECS, spreekt hierover in het Financieele Dagblad.
In hun jaarverslagen vertellen bedrijven die genoteerd staan op de AEX, AMX en de AScX weinig over hoeveel geld ze besteden aan bescherming tegen cyberaanvallen, welke concrete maatregelen ze treffen en de mate waarin ze risico lopen te worden gehackt. Sinds 2019 onderzoekt het CLECS de bovengenoemde bedrijven. Hierbij letten ze op interne governance, externe communicatie en risicoanalyse door deze bedrijven.
Eén van de problemen is dat er geen eenduidigheid is in de manier waarop bedrijven rapporteren over cyberveiligheid. Dit constateert Hoogerwaard ook: “'We zien bijvoorbeeld dat het merendeel van de maatregelen slechts door één bedrijf wordt genoemd, waarschijnlijk omdat elk bedrijf zijn eigen terminologie hanteert. Dat maakt het moeilijk om bedrijven met elkaar te vergelijken.” Daarnaast deelt geen enkel bedrijf hoeveel ze uittrekken voor beveiliging en dat is iets wat volgens Hoogerwaard wel mogelijk zou zijn: “We pleiten er ook niet voor dat bedrijven gedetailleerde informatie geven over kwetsbaarheden die nog niet zijn opgelost. Met het delen cybersecurityuitgaven zien wij geen direct gevaar.”
Er zijn volgens de onderzoekers van het CLECS echter wel verbeteringen zichtbaar. Zo zijn bedrijven cybersecurity de afgelopen jaren steeds belangrijker gaan vinden en is het thema een belangrijk onderwerp van gesprek geworden binnen de bedrijfstop. Ook ten aanzien van vorig jaar zien de onderzoekers vooruitgang: 24% van de beursgenoteerde bedrijven heeft een bestuurder of commissaris met een focus op cyberveiligheid. Vorig jaar was dit 20%.
