Beursgenoteerde bedrijven moeten vanaf boekjaar 2023 in de risicoparagraaf van het jaarverslag uitleggen hoe ze zorgen dat de belangrijkste IT-systemen soepel en veilig blijven draaien. Het gaat bijvoorbeeld om databeveiliging of voorzorgsmaatregelen tegen hackaanvallen of grote storingen in bedrijfskritische software. Voor niet-beursgenoteerde grote ondernemingen wordt dit geen plicht maar een dringend advies.
Deze verandering komt voort uit de derde herziening van de Corporate Governance Code, ook wel bekend als de Code-Tabaksblat, die vlak voor Kerst uitkwam. De update weerspiegelt de trends op het gebied van duurzaamheid, continuïteit, digitalisering en informatieveiligheid. Het is hard nodig vindt de Online Trust Coalitie (OTC) – een samenwerkingsverband van ruim 20 organisaties uit bedrijfsleven, wetenschap en overheid – dat zich inzet voor een betrouwbare cloud. De fase van bewustwording is voorbij, de tijd voor actie is gekomen.
Met name bij digitalisering en digitale bedrijfsvoering kunnen de risico’s van onvoldoende sturing zich al snel vertalen in de financiële resultaten en de continuïteit van organisaties. Onvoldoende regie op IT en informatieveiligheid kan ertoe leiden dat een organisatie het slachtoffer wordt van bijvoorbeeld een ransomware aanval, die miljoenen kan kosten. Te weinig grip op IT en het ontbreken van inzicht in de betrouwbaarheid van digitale toeleveranciers en Cloud services kunnen leiden tot continuïteitsrisico’s of forse boetes van toezichthouders. Bovendien kan gebrekkige controle op digitalisering resulteren in verlies van de concurrentiepositie aan een digitale nieuwkomer.
De nieuwe code vraagt meer verantwoordelijkheid van betrokken bestuurders. Bestuurders hebben daartoe betrouwbare informatie nodig over de door de organisatie gebruikte IT. Voor de financiële verantwoording zijn er de nodige instrumenten zoals de accountantsverklaring bij de jaarrekening. Voor de nieuwe domeinen die nu in de code worden genoemd, zijn de instrumenten -normen, beoordelingen en bijbehorende verslagen- nog volop in ontwikkeling.
De OTC streeft in dit verband naar harmonisatie van instrumenten die commissarissen en bestuurders in staat moeten stellen om hun verantwoordelijkheid te kunnen dragen. De OTC signaleert daarbij een andere belangrijke ontwikkeling: de lancering van de nieuwe IT “in control” verklaring, ontwikkeld door de Nederlandse Orde van IT Auditors (NOREA). Die verklaring beoogt invulling te geven aan de behoefte aan zekerheid op het gebied van IT en digitalisering voor de bestuurders die met de nieuwe code te maken krijgen.
De Nederlandse Corporate Governance Code, formuleert principes voor goede governance voor beursgenoteerde bedrijven. Veel ondernemingen en instellingen passen de code vrijwillig toe. De code is geformuleerd en wordt gedragen door tal van organisaties zoals VNO-NCW, vakbonden maar ook ministeries (zoals Financiën).
De code is vorige week geüpdatet, met onder andere meer nadruk op waardecreatie op de lange termijn: bestuurders moeten in de nieuwe code veel beter laten zien op welke manier ze reageren op sociale-, duurzaamheids- en bestuurlijke uitdagingen.
De OTC vindt haar oorsprong in de digitaliseringsagenda van het ministerie van EZK, specifiek de “roadmap veilige hard- en software”. Deelnemers in de OTC zijn alle grote spelers op het gebied van informatieveiligheid in NL. waaronder de betrokken ministeries, de 3 toezichthouders, VNO-NCW, alle betrokken branche- en beroepsorganisaties, het CIO Platform e.v.a.
Het doel van de Online Trust Coalitie (OTC) is het beschikbaar maken van een eenduidige, efficiënte methode waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn.
De OTC volgt de genoemde ontwikkelingen met belangstelling en zet zich in om verdere instrumenten te realiseren die bestuurders kunnen helpen om inzicht te verkrijgen in de mate van control over digitale ketens in organisaties waar ze verantwoordelijkheid voor dragen, met als doel die control te verstevigen.
De Online Trust Coalitie roept organisaties op om deel te nemen en met elkaar de digitale economie van Nederland in de internationale context te versterken. Aanmelden kan via: info@onlinetrustcoalitie.nl
ECP – Jan-Willem Navis – jan-willem.navis@ecp.nl – 06 21923446
Meer informatie: www.onlinetrustcoalitie.nl
ECP | Platform voor de InformatieSamenleving is een onafhankelijk platform waar overheid, wetenschap, bedrijfsleven, onderwijs en maatschappelijke organisaties samenwerken en kennis uitwisselen. We willen eraan bijdragen dat dat onze digitaliserende samenleving op verantwoorde wijze vorm krijgt. ECP coördineert het Online Trust Coalitiebureau.