NOREA komt met standaard voor 'cyberjaarverslag'
NOREA, de beroepsorganisatie van IT-auditors, komt met een standaard voor het vastleggen van IT-processen en cybersecurity bij bedrijven. De nieuwe International Digital Reporting Standard (IDRS) moet bedrijven helpen om te voldoen aan alle regelgeving rondom IT-systemen en beveiligingsvereisten.
In het FD wordt bericht over de eerste ervaringen met de nieuwe standaard, die al wordt gebruikt bij zorgverzekeraar CZ en ingenieursbureau Arcadis. "Voor grote bedrijven als Arcadis is het een administratieve nachtmerrie: voor veel EU-richtlijnen, toezichthouders en grote opdrachtgevers moeten ze apart rapporteren over hun IT-beveiliging", aldus het FD.
Volgens NOREA-voorzitter Marc Welters is Nederland één van de meest gedigitaliseerde landen ter wereld. "Als er bij één organisatie een probleem is, kunnen de gevolgen veel breder merkbaar zijn."
Eén document
De nieuwe IDRS-standaard, tot nu toe bekend als NOREA Reporting Initiative (NRI), is bedoeld om alle IT-processen en -beveiliging vast te leggen in één document van circa veertig pagina's. De standaard is gericht op de IT-beheersing van een organisatie en heeft betrekking op thema's als cybersecurity, privacy en databeheer. Die thema's zijn volgens Welters met elkaar verwezen, stelt hij in het FD. "Als je alleen naar cybersecurity kijkt, maar je hebt alles geoutsourcet naar cloudleveranciers, dan mis je een belangrijk deel van je beveiligingsbeeld."
Volgens Arcadis-bestuurder Hans Dekker helpt de standaard bij de beveiliging van IT-systemen. "We nemen regelmatig bedrijven over. Die stonden medewerkers soms toe eigen software te installeren of onzorgvuldiger om te gaan met beveiligingsupdates, precies de kwetsbaarheden waar hackers op azen", legt hij uit in het FD.
Samenwerking
NOREA werkt samen met tien partijen, waaronder De Nederlandsche Bank, de Rijksinspectie Digitale Infrastructuur, ministeries, universiteiten en het bedrijfsleven, om de standaard te onderhouden en verder te ontwikkelen. Tegenover het FD geeft voorzitter Welters aan te hopen dat ook de overheid de standaard zal omarmen.
Daarnaast is NOREA in gesprek met Brussel om de standaard Europees uit te rollen, omdat relevante wetten als DORA en NIS2 een Europese dekking hebben. "Waarom zou je dat alleen voor Nederland beschikbaar houden?", aldus Welters.
Gerelateerd
Een op de vijf bedrijven had vorig jaar schade door cyberaanval
Een op de vijf ondernemingen heeft vorig jaar schade geleden door een cyberaanval. Bij grotere bedrijven met een omzet van meer dan 25 miljoen euro was dit zelfs...
OM meldt daling in aantal cybercrimezaken
Het Openbaar Ministerie (OM) handelde vorig jaar 214.500 misdrijfzaken af, dat is tien procent meer dan het jaar ervoor. Een daling is zichtbaar in het aantal cybercrimezaken,...
Aantal incidenten met gijzelsoftware licht gedaald
Het aantal gemelde incidenten met gijzelsoftware in Nederland is afgelopen jaar iets gedaald. Dat is verrassend te noemen, omdat de wereldwijde trend juist is dat...
Rekenkamer: Rijk is ondoordacht in de cloud gaan werken
De Rijksoverheid is ondoordacht ‘in de cloud’ gaan werken en denkt onvoldoende na over de risico’s daarvan. Bij twee derde van de belangrijkste clouddiensten zijn...
Vitamine A: Liesbeth Holterman over accountancy en cyberveiligheid
In de 57ste editie van Vitamine A, de podcast voor accountants, spreekt host Sven Budding met Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland....