Meer duidelijkheid over cyber risico’s gevraagd

Twee dagen geleden is onder andere via Reuters een bericht verschenen waar we nog veel van gaan merken. Het hoofd van de Amerikaanse beurs toezichthouder SEC heeft namelijk een paar eisen op tafel gelegd met betrekking tot cybersecurity.

Beursgenoteerd

Alle beursgenoteerde bedrijven zijn verplicht aan de toezichthouder gedetailleerd te rapporteren. Dat is in de VS niet anders dan in Nederland. Het is een van de manieren om er voor te zorgen dat aandeelhouders allemaal over de zelfde informatie beschikken en dat wat dat betreft de handel eerlijk en transparant verloopt. Daarbij gaat het meer dan over informatie over omzet en samenwerkingen, ook de risico’s moeten duidelijk worden gemaakt. Je ziet dat ook terug in de kwartaal- en jaarverslagen van beursgenoteerde fondsen. Er is altijd een paragraaf met risico’s inclusief, tot zover bekend, de mogelijke financiële impact.

Jay Clayton, het hoofd van SEC, wil dat er specifiek over cybersecurity meer gerapporteerd gaat worden. Dat is iets waar iedereen mee te maken heeft en wat grote impact kan hebben. Hij is van oordeel dat het voor het Amerikaanse publiek (hij bedoelt daarmee: de aandeelhouders) nu nog onmogelijk is een beeld te krijgen van zowel de risico’s als het prijskaartje.

Vertaling

De vertaling van het betoog van Clayton is door de pers op een en de zelfde wijze gemaakt: er zullen meer regels gaan komen of de bestaande regels gaan worden aangescherpt. De standaard paragrafen zullen in ieder geval langer worden. Belangrijker is echter welke processen hierdoor gaan worden gewijzigd. Er is maar weinig fantasie voor nodig om daar het antwoord op te geven. Beurgenoteerde bedrijven zullen beter en vaker gaan controleren of ze in control zijn voor cyber risico’s. Omdat elk bedrijf zaken doet met externe leveranciers (van koffiemachines tot cloud- en hostingdiensten) zullen die daar ook mee te maken gaan krijgen.

De oceaan over

De eerste fase zal zijn dat aan de overkant van de grote plas vanuit de keten beredeneerd gekeken gaat worden naar de cyber gerelateerde risico’s. Daar zal het niet bij blijven en wel om twee redenen. De eerste is dat de beursgenoteerde bedrijven op een enkele uitzondering na ook allemaal internationaal actief zijn en ook in het buitenland zicht moeten krijgen op de risico’s. Tweede reden is dat toezichthouders naar elkaar kijken en het beleid afstemmen. Het is dus ook daarom een kwestie van tijd eer we in Europa en Nederland de roep zullen horen dat beursgenoteerde bedrijven beter moeten beschrijven wat voor hen de cyberrisico’s zijn. En daarmee ligt de zaak ook op het bureau van het datacenter en de providers in Nederland. Als zij al niet rechtstreeks zaken doen met dit type bedrijven dan faciliteren ze wel leveranciers en zijn daarmee onderdeel van de zelfde keten.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.