-

Cyber security-beleid staat nog in de kinderschoenen

Cyber spionage neemt volgens de AIVD sterk toe. En de hack bij Sony was vorig jaar wekenlang groot nieuws. Toch lijkt maar liefst 60 procent van de bedrijven cyber security niet serieus te nemen. De aanpak ervan door Nederlandse bedrijven is versnipperd en reactief.

Dit blijkt uit de Cyber Security Benchmark van KPMG. Ieder jaar onderzoekt KPMG de jaarverslagen van beursgenoteerde bedrijven op de aandacht voor risico’s op het gebied van cyber security.

Wat blijkt? Slechts bij 15 van de 46 onderzochte bedrijven met een beursnotering aan de AEX of Midkap is cyber security een onderwerp op het hoogste bestuursniveau. Ondanks alle incidenten wordt de noodzaak voor sturing vanaf het hoogste niveau dus nog niet onderkend.

De totale kosten voor de cyberaanval op het Japanse Sony Pictures is door experts geraamd op 85 miljoen euro. En er is Europese wetgeving op komst die nationale privacywaakhonden in staat stelt om boetes tot 100 miljoen euro uit te delen bij datalekken waarbij privacygevoelige informatie van klanten wordt buitgemaakt. Kortom, de digitale beveiliging niet op orde hebben kan flinke gevolgen hebben.

Überhaupt geen aandacht voor cyber security

Uit het onderzoek van KPMG blijkt echter dat van de 23 Midkap-bedrijven maar liefst 35 procent überhaupt geen aandacht aan het onderwerp cyber security besteedt. Overigens een vooruitgang van 15 procentpunt ten opzichte van vorig jaar. Bij 43 procent van de Midkap-bedrijven is sprake van een redelijke tot gedegen uiteenzetting van risico’s en maatregelen.

Het toeschrijven van de verantwoordelijkheid voor cyber security-risico’s aan de bestuursleden gebeurt slechts in 39 procent van de jaarverslagen van de Midkap-genoteerde bedrijven. Maar van de bedrijven die de risico’s wel goed in kaart hebben gebracht, belegt maar liefst iedereen de verantwoordelijkheid voor dit onderwerp bij de bestuurders.

Verder is opvallend dat de nieuwkomers ten opzichte van de periode 2013 redelijk beperkte secties opnemen in het jaarverslag, maar dat zij wel in driekwart van de gevallen de verantwoordelijkheid bij bestuurders leggen.

AEX-bedrijven doen het beter

De AEX-bedrijven scoren een stuk beter: 87 procent van deze bedrijven besteedt in meer of mindere mate aandacht aan cyber security. Een stijging van maar liefst 18 procentpunt ten opzichte van vorig jaar. Voor bijna al deze bedrijven gebeurt dit ook met enige diepgang.

Echter, opvallend weinig AEX-genoteerde bedrijven noemen de risico’s van cyber security een verantwoordelijkheid van de raad van bestuur. Slechts 40 procent van alle onderzochte bedrijven deed dit.

Maar ook hier valt de correlatie op tussen bedrijven die deze bestuursverantwoordelijkheid noemen, en zij die in hun jaarverslag in het algemeen uitgebreid toelichten wat de cyber security risico’s voor de organisatie zijn.

Verder valt op dat nieuwkomers vrij uitgebreide stukken schrijven in hun risico-managementhoofdstuk, maar geen van allen schrijven de verantwoordelijkheid toe aan hun bestuurders.

De volledige Cyber Security Benchmark van KPMG is hier te downloaden.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond