Beursgenoteerde bedrijven verplicht om IT-risico's in kaart te brengen

De Corporate Governance Code bevat verplichte gedragsregels voor het bestuur van een beursgenoteerd bedrijf. De Code stamt uit 2016, maar vlak voor de kerst verscheen een actualisatie. In de hernieuwde Code wordt onder andere meer aandacht geschonken aan technologische ontwikkelingen, zoals de impact van nieuwe technologieën en veranderende businessmodellen. "Hierbij is het van belang dat vennootschappen zich bewust zijn van de risico’s, zoals cyberdreigingen en daarop anticiperen", aldus de Monitoring Commissie Corporate Governance Code, die toezicht houdt op de naleving van de gedragsregels. "Deskundigheid en ervaring bij het bestuur en de raad van commissarissen over digitalisering is hiervoor cruciaal."

Zo moet het bestuur onder meer de risico's die verbonden zijn aan de strategie en de activiteiten van de vennootschap en de met haar verbonden onderneming inventariseren en analyseren. Ook IT-risico's - bijvoorbeeld op het gebied van cybersecurity, leveranciers- en ketenafhankelijkheid, data protectie en de ethisch verantwoorde toepassing van nieuwe technologieën - vallen daaronder. 

'Hard nodig'

Volgens de Online Trust Coalitie - een samenwerkingsverband van ruim 20 organisaties uit het bedrijfsleven, wetenschap en overheid, dat zich inzet voor een betrouwbare cloud - is de update hard nodig. "Onvoldoende regie op IT en informatieveiligheid kan ertoe leiden dat een organisatie het slachtoffer wordt van bijvoorbeeld een ransomware-aanval, die miljoenen kan kosten. Te weinig grip op IT en het ontbreken van inzicht in de betrouwbaarheid van digitale toeleveranciers en cloud services kunnen leiden tot continuïteitsrisico’s of forse boetes van toezichthouders. Bovendien kan gebrekkige controle op digitalisering resulteren in verlies van de concurrentiepositie aan een digitale nieuwkomer", aldus de organisatie op zijn eigen website. 

Overigens geldt de Code alleen voor beursgenoteerde bedrijven. Volgt een bedrijf de regel niet, dan moet in het jaarverslag uitgelegd worden waarom niet. De Online Trust Coalitie noemt de update voor niet-beursgenoteerde, grote ondernemingen echter wel een dringend advies.