KPMG kritisch over gebrekkige cyber security beleid van beursgenoteerde bedrijven

Bij slechts één op de drie beursgenoteerde bedrijven is de Raad van Bestuur verantwoordelijk voor Cyber Security, dit blijkt uit de jaarlijkse Cyber Security Benchmark van KPMG. Bij 15 van de 46 onderzochte bedrijven met een beursnotering aan de AEX of de Midkap is Cyber Security een onderwerp op het hoogste bestuursniveau. Daarmee lijkt het overgrote deel van de Nederlandse beursfondsen de risico’s van Cyber Security niet serieus te nemen.

Aanzienlijke schade

Eind vorig jaar was het Japanse filmbedrijf Sony Pictures nog slachtoffer van een cyberaanval. De totale kosten van de schade van deze aanval is door experts beraamd op € 85 miljoen. Ook dichter bij huis ontstaat steeds meer aandacht voor Cyber Security en de gevolgen voor bedrijven die de digitale beveiliging niet op orde hebben. Er is Europese wetgeving op komst die nationale privacy waakhonden in staat stelt om boetes tot € 100 miljoen uit te delen bij datalekken waarbij privacygevoelige informatie van klanten wordt buitgemaakt.

Geen verantwoordelijkheid Raad van Bestuur

In Nederland onderzoekt KPMG ieder jaar de jaarverslagen van de aan de AEX- en Midkap genoteerde bedrijven op de aandacht voor deze risico’s op het gebied van Cyber Security. Opvallende conclusie is dat 35% van de Midkap bedrijven überhaupt geen aandacht aan Cyber Security besteedt. Aan de andere kant, bij de bedrijven die wel uitgebreid ingaan op de risico’s is de Raad van Bestuur verantwoordelijk gemaakt voor Cyber Security. De AEX-bedrijven scoren een stuk beter: 87% van deze bedrijven besteedt in meer of mindere mate aandacht aan Cyber Security. Echter, het overgrote gedeelte van deze bedrijven (60%) vind Cyber Security geen verantwoordelijkheid van de Raad van Bestuur.

In de kinderschoenen

Volgens John Hermans, Cyber Security lead partner van KPMG, sluit dit beeld aan bij eerdere onderzoeken van KPMG over het gebrek aan aandacht voor Cyber Security in de Nederlandse bestuurskamers. Hermans: ‘Cyber Security wordt een steeds belangrijker thema, het aantal incidenten en de impact ervan is de afgelopen jaren steeds verder toegenomen. Tegelijkertijd staat het Cyber Security-beleid in de Nederlandse bestuurskamers nog in de kinderschoenen. En is de aanpak ervan door Nederlandse bedrijven versnipperd en reactief. Het is van belang dat Cyber Security prominent op de agenda van de Raad van Bestuur komt te staan, zodat de risico’s inzichtelijk worden en bestuurders tijdig de juiste acties kunnen ondernemen om deze risico’s in hun organisatie te mitigeren.’