Nieuwe standaard bundelt IT-beleid en compliance in één document

Een nieuwe rapportage-standaard moet bedrijven helpen om overzicht te krijgen in het complexe speelveld van digitale regelgeving. Onder de naam International Digital Reporting Standards (IDRS) is een zogeheten ‘cyberjaarverslag’ ontwikkeld, dat uiteenlopende IT-processen en veiligheidsmaatregelen samenbrengt in één gestructureerd rapport (bron). De toepassing is inmiddels getest door organisaties als zorgverzekeraar CZ en ingenieursbureau Arcadis.

De IDRS is ontstaan vanuit de behoefte om tientallen afzonderlijke IT-rapportages te bundelen in één samenhangend geheel. De beroepsorganisatie voor IT-auditors, Norea, werkte vijf jaar aan de totstandkoming van de standaard. De eerste toepassing laat zien dat één verslag van circa 45 pagina’s kan voldoen aan de eisen van meer dan honderd Europese wet- en regelgevingen op het gebied van digitale veiligheid, privacy en databeheer.

Het initiatief komt niet uit de lucht vallen. Door de groei van het aantal richtlijnen, waaronder DORA, NIS2 en andere sectorale normen, is de administratieve druk rondom digitale compliance sterk toegenomen. Voor grote organisaties die opereren in gereguleerde sectoren, zoals zorg en infrastructuur, levert dit flinke uitdagingen op. Hoewel fysieke archivering in een archiefkast in sommige gevallen noodzakelijk blijft, ontstaat er met dit jaarverslag een praktische oplossing om verantwoording richting toezichthouders, klanten en opdrachtgevers te stroomlijnen.

Toenemende noodzaak door digitale dreigingen

De urgentie van betere beveiliging wordt breed erkend. Incidenten zoals de ransomware-aanval op een supermarkt leverancier in 2021, waarbij de bevoorrading van gekoelde producten landelijk werd verstoord, hebben het belang van IT-veiligheid zichtbaar gemaakt. In een sterk gedigitaliseerde economie kunnen lokale kwetsbaarheden immers grote maatschappelijke gevolgen hebben.

Het cyberjaarverslag biedt bedrijven een methodiek om gestructureerd inzicht te krijgen in hun digitale weerbaarheid. De zes thema’s die de standaard bestrijken, waaronder cybersecurity, gegevensbeheer en uitbesteding, maken het mogelijk om ook onderliggende risico’s en kwetsbaarheden in kaart te brengen. Organisaties die regelmatig bedrijven integreren, bijvoorbeeld via overnames, zien hierin een extra voordeel. Zwakke plekken, zoals het ontbreken van software-updates of het gebruik van niet-gecertificeerde applicaties, worden sneller zichtbaar.

Efficiëntie bij audits en aanbestedingen

De nieuwe rapportvorm blijkt in de praktijk niet alleen een intern hulpmiddel. Ook in het contact met toezichthouders, auditors en opdrachtgevers draagt het bij aan versnelling en vereenvoudiging van processen. Voorheen kostte het organisaties soms maanden om aanvullende certificeringen te verzamelen bij aanbestedingen. Door de inzet van het cyberjaarverslag kunnen veel van deze verplichtingen direct worden afgedekt.

Het document wordt inmiddels structureel gebruikt in klantgesprekken en als basis voor compliance-documentatie. Volgens betrokken bedrijven levert dit niet alleen tijdwinst op, maar ook een verhoogd vertrouwen bij partners en opdrachtgevers.

Brede samenwerking en Europese ambitie

De ontwikkeling van IDRS is het resultaat van een brede samenwerking tussen publieke en private partijen. Onder meer De Nederlandsche Bank, de Rijksinspectie Digitale Infrastructuur, diverse ministeries, universiteiten en marktpartijen zijn betrokken bij het onderhoud en de doorontwikkeling van de standaard.

Naast gebruik in Nederland wordt gekeken naar bredere toepassing binnen de Europese Unie. Gezien de pan-Europese werking van digitale wetgeving, is het de ambitie om IDRS ook in Brussel erkend te krijgen als standaardaanpak voor digitale verantwoording. Lopende gesprekken met Europese instellingen zijn daar een eerste stap in.