Bestuurders die IT niet op orde hebben riskeren vanaf 2023 boetes

Beursgenoteerde bedrijven moeten vanaf boekjaar 2023 verplicht in hun jaarverslag uitleggen hoe ze zorgen dat de belangrijkste IT-systemen soepel en veilig blijven draaien. Het gaat bijvoorbeeld om databeveiliging of voorzorgsmaatregelen tegen hackaanvallen of grote storingen in bedrijfskritische software. Voor niet-beursgenoteerde grote ondernemingen wordt dit geen plicht maar een advies, dat in de praktijk gevolgd wordt door de meeste bedrijven.

Deze verandering komt voort uit de derde herziening van de Corporate Governance Code, ook wel bekend als de Code-Tabaksblat, die vlak voor Kerst uitkwam. De update weerspiegelt de trends op het gebied van duurzaamheid, continuïteit, digitalisering en informatieveiligheid. Dit is een goede ontwikkeling, vindt de Online Trust Coalitie (OTC) – een samenwerkingsverband van ruim 20 organisaties uit bedrijfsleven, wetenschap en overheid - dat zich inzet voor een betrouwbare cloud. "De fase van bewustwording is voorbij, de tijd voor actie is gekomen", zegt Kees Verhoeven namens OTC.

”De update van de Governance Code is een grote stap voorwaarts, want hiermee komt in feite een einde aan de fase van bewustwording over het belang van goede governance van IT. Deze bewustwordingsfase was nodig om veilige IT in een rap digitaliserende wereld hoger op de agenda te krijgen maar leidde nog niet altijd tot de noodzakelijke verbeteringen van IT-processen. In het huidige digitale tijdperk is deze concrete vervolgstap in de corporate governance code dan ook van grote waarde. Vanaf nu moeten bestuurders ook verantwoording gaan afleggen”, zegt Kees Verhoeven, lid van het kernteam van de OTC. 

Met name bij digitalisering en digitale bedrijfsvoering kunnen de risico's van onvoldoende sturing al snel gevolgen hebben, voor de financiële resultaten en de continuïteit van bedrijven. Onvoldoende regie op IT en informatieveiligheid kan ertoe leiden dat een organisatie het slachtoffer wordt van bijvoorbeeld een ransomware aanval, die miljoenen kan kosten. Te weinig grip op automatisering en het ontbreken van inzicht in de betrouwbaarheid van digitale toeleveranciers en cloudservices kunnen leiden tot continuïteitsrisico’s of forse boetes van toezichthouders. Bovendien kan gebrekkige controle op digitalisering resulteren in verlies van de concurrentiepositie aan een digitale nieuwkomer.

De nieuwe code vraagt meer verantwoordelijkheid van betrokken bestuurders. Bestuurders hebben daartoe betrouwbare informatie nodig over de door de organisatie gebruikte IT. Voor de financiële verantwoording zijn er de nodige instrumenten zoals de accountantsverklaring bij de jaarrekening. Voor de nieuwe domeinen die nu in de code worden genoemd, zijn de instrumenten -normen, beoordelingen en bijbehorende verslagen- nog volop in ontwikkeling. 

De OTC streeft in dit verband naar harmonisatie van instrumenten die commissarissen en bestuurders in staat moeten stellen om hun verantwoordelijkheid te kunnen dragen. De OTC signaleert daarbij een andere belangrijke ontwikkeling: de lancering van de nieuwe IT “in control” verklaring, ontwikkeld door de Nederlandse Orde van IT Auditors (NOREA).  Die verklaring beoogt invulling te geven aan de behoefte aan zekerheid op het gebied van IT en digitalisering voor de bestuurders die met de nieuwe code te maken krijgen. 

OTC kernteamlid Michiel Steltman: “Het moet niet zo zijn dat ondernemers nu met allerlei nieuwe rapportageproblemen worden opgezadeld, of dat er verschillende oplossingen komen om te laten zien dat zaken goed geregeld zijn. Dat is een concrete zorg want er komt veel op ze af en er is al een oerwoud aan keurmerken en certificeringen. De markt zal dat dus producten en diensten moeten gaan bieden, voor die nieuwe verantwoordings- en rapportageverplichtingen, maar dan wel volgend het OTC “recept”, en liefst in de vorm van kant-en-klare oplossingen , standaarden, die echt iets zeggen over de mate van control in de organisatie, en waar bestuurders en commissarissen echt op kunnen vertrouwen.”

Over de Nederlandse Corporate Governance Code 

De Nederlandse Corporate Governance Code, formuleert principes voor goede governance voor beursgenoteerde bedrijven. Veel ondernemingen en instellingen passen de code vrijwillig toe. De code is geformuleerd en wordt gedragen door tal van organisaties zoals VNO-NCW, vakbonden maar ook ministeries.

De code is vorige week geüpdatet, met onder andere meer nadruk op waardecreatie op de lange termijn: bestuurders moeten in de nieuwe code veel beter laten zien op welke manier ze reageren op sociale-, duurzaamheids- en bestuurlijke uitdagingen. 

Over de Online Trust Coalitie 

De OTC vindt haar oorsprong in de digitaliseringsagenda van het ministerie van EZK, specifiek de “roadmap veilige hard- en software”.  Deelnemers in de OTC zijn alle grote spelers op het gebied van informatieveiligheid in NL. waaronder de betrokken ministeries, de 3 toezichthouders, VNO-NCW, alle betrokken branche- en beroepsorganisaties, het CIO Platform e.v.a. 

Het doel van de Online Trust Coalitie (OTC) is het beschikbaar maken van een eenduidige, efficiënte methode waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn. 

De OTC volgt de genoemde ontwikkelingen met belangstelling en zet zich in om verdere instrumenten te realiseren die bestuurders kunnen helpen om inzicht te verkrijgen in de mate van control over digitale ketens in organisaties waar ze verantwoordelijkheid voor dragen, met als doel die control te verstevigen.