Ook commissaris zelf is doelwit voor hackers

Cyberbeveiliging kan bijdragen aan bedrijfstransformatie en innovatie, mits er sprake is van het proactief integreren ervan in gegevens, processen en systemen. De auditcommissie kan daarbij een sturende rol spelen, stellen Auke de Bos en Martijn de Jong van EY. Daarnaast moeten commissarissen zelf ook oppassen voor hackers, ze hebben immers toegang tot gevoelige bedrijfsinformatie.

Cyberveiligheid heeft zich de afgelopen jaren ontwikkeld tot een belangrijke uitdaging voor auditcommissies. Zo besteedde de AFM er al in 2020 aandacht aan. Ook de Monitoring Commissie gaf bij de presentatie van de herziene Nederlandse Corporate Governance Code in 2016 al aandacht aan cybersecurity. Zo schrijft de Code voor dat de auditcommissie bij het toezicht op de integriteit en kwaliteit van de financiële verslaggeving en op de effectiviteit van de interne risicobeheersings- en controlesystemen voldoende aandacht besteedt aan cybersecurity (zie bepaling 1.5.1). De Vereniging van Effecten Bezitters zag toen eveneens al een duidelijke rol voor auditcommissies op het gebied van cyberveiligheid: ‘Beleggers mogen van het bestuur verwachten dat zij een cyber-strategie ontwikkelt die de materiële gevolgen van IT-gerelateerde incidenten adresseert en minimaliseert. De raad van commissarissen dient hier toezicht op uit te oefenen.’ Verder kwam uit een NBA-onderzoek onder voorzitters van auditcommissies (2019) naar voren dat cybersecurity volgens hen steeds belangrijker wordt als onderdeel van digitalisering.

Top-5 uitdagingen bij cybersecurity

Uit de EY Board Agenda 2021 blijkt de volgende top-5 van uitdagingen in de boardroom ten aanzien van cybersecurity:

1. digitale bedreigingen (inbreuken op de beveiliging en fraude, corruptie van gegevens);
2. huidige wereldwijde uitdagingen van digitale transformatie;
3. kader en ontwerp van preventieve beveiligingsprocessen;
4. verandering in en follow-up van de huidige regelgeving;
5. snelle evolutie.

Acties voor rvc en auditcommissie tegen hackers

De toezichthoudende rol van de raad van commissarissen is van cruciaal belang om de cyberbestendigheid van organisaties te waarborgen. Belangrijke acties die commissarissen/leden van de auditcommissie nu kunnen ondernemen zijn:

• periodiek evalueren van de effectiviteit van de cyberbeveiligingsfunctie;
• vaststellen dat de Chief Information Security Officer (CISO) voldoende budget en middelen heeft om geconstateerde zwakke punten aan te pakken;
• vaststellen dat er geïnvesteerd wordt in nieuwe tools zoals kunstmatige intelligentie (AI)-toepassingen om cybercriminaliteit te voorkomen en op te sporen;
• vragen om een reeks inzichtelijke KPI's met betrekking tot cyberbeveiliging en het regelmatig ontvangen van managementrapportages
• vragen van toegang tot informatie over toeleveringsketens om te begrijpen welke leveranciers toegang hebben tot de systemen van de organisatie en welke controles en beveiligingsprotocollen er zijn;
• vaststellen dat de organisatie voldoende verzekerd is tegen een ernstige inbreuk op de beveiliging.

Faciliterende rol

Cyberbeveiliging kan een kritieke factor zijn voor verandering die bijdraagt aan bedrijfstransformatie en innovatie, maar alleen als CISO's samenwerken met hun collega's in het hele bedrijf en als cyberbeveiliging proactief wordt geïntegreerd in gegevens, processen en systemen. De auditcommissie kan een sturende rol spelen om dit te faciliteren. Tot slot is het voor commissarissen goed om zich te realiseren dat ook zijzelf een aantrekkelijk doelwit kunnen zijn voor hackers, omdat ze toegang hebben tot (commercieel) gevoelige bedrijfsinformatie.

Klik hier voor contact met Auke de Bos (partner Assurance EY Nederland) en hier voor contact met Martijn de Jong (Senior Manager Assurance EY Nederland).