Een nieuwe standaard voor digitale verslaglegging moet bedrijven helpen beter grip te krijgen op hun cybersecurity en tegelijkertijd voldoen aan de groeiende hoeveelheid digitale regelgeving. Ingenieurs- en adviesbureau Arcadis en zorgverzekeraar CZ zijn de eersten die met deze zogeheten International Digital Reporting Standard (IDRS) werken, schrijft het FD.

Het nieuwe ‘cyberjaarverslag’ bundelt alle relevante informatie over IT-beveiliging, privacy en datamanagement in één overzichtelijk document van 40 tot 45 pagina’s. De standaard is ontwikkeld door de beroepsorganisatie voor IT-auditors, Norea en heeft vijf jaar voorbereiding gekost. Voor grote bedrijven als Arcadis is het cyberjaarverslag een welkome oplossing voor de administratieve druk vanuit zowel Europese wetgeving als opdrachtgevers. “We hebben nu één document dat voldoet aan meer dan honderd EU-wetten”, zegt Arcadis-bestuurder Hans Dekker tegenover het FD. “Ik heb het standaard in mijn koffer zitten. Het bespaart ons veel werk bij aanbestedingen en compliancevragen van klanten.”

Grote maatschappelijke gevolgen
De urgentie van goede IT-beveiliging wordt steeds duidelijker. Norea-voorzitter Marc Welters wijst op de zogeheten ‘kaashack’ van 2021, waarbij een cyberaanval op een supermarktleverancier leidde tot lege schappen in winkels. “Nederland is extreem gedigitaliseerd. Eén incident kan grote maatschappelijke gevolgen hebben”, aldus Welters.
De IDRS behandelt zes thema’s die samen de IT-beheersing van een organisatie dekken, zoals cybersecurity, privacy, databeheer en outsourcing. Dit helpt bedrijven om niet alleen de techniek, maar ook de bredere risico’s in kaart te brengen. “We kregen door het opstellen inzicht in onze zwakke plekken”, zegt Dekker. “Bij overgenomen bedrijven bleek dat medewerkers soms eigen software mochten installeren of updates oversloegen. Zulke gaten brengen we nu direct onder in een veilige omgeving.”

Levensbelang
Ook toezichthouders reageren positief. Waar Arcadis eerder maanden kwijt was aan aparte certificeringen, volstaat nu vaak het overleggen van het cyberjaarverslag. Vooral in gevoelige sectoren zoals infrastructuur en zorg, waar cybersecurity en continuïteit van levensbelang zijn, levert dit tijdswinst op.
De verwachting is dat jaarlijkse updates van het verslag aanzienlijk minder tijd kosten dan de eerste opzet. Norea onderhoudt de standaard samen met onder andere De Nederlandsche Bank, de Rijksinspectie Digitale Infrastructuur, ministeries en het bedrijfsleven. Er lopen gesprekken in Brussel om de standaard Europees uit te rollen, gezien de reikwijdte van wetten als DORA en NIS2. Welters: “Waarom zou je iets dat in Nederland werkt, niet breder inzetten?”