NOREA komt met standaard voor 'cyberjaarverslag'
NOREA, de beroepsorganisatie van IT-auditors, komt met een standaard voor het vastleggen van IT-processen en cybersecurity bij bedrijven. De nieuwe International Digital Reporting Standard (IDRS) moet bedrijven helpen om te voldoen aan alle regelgeving rondom IT-systemen en beveiligingsvereisten.
In het FD wordt bericht over de eerste ervaringen met de nieuwe standaard, die al wordt gebruikt bij zorgverzekeraar CZ en ingenieursbureau Arcadis. "Voor grote bedrijven als Arcadis is het een administratieve nachtmerrie: voor veel EU-richtlijnen, toezichthouders en grote opdrachtgevers moeten ze apart rapporteren over hun IT-beveiliging", aldus het FD.
Volgens NOREA-voorzitter Marc Welters is Nederland één van de meest gedigitaliseerde landen ter wereld. "Als er bij één organisatie een probleem is, kunnen de gevolgen veel breder merkbaar zijn."
Eén document
De nieuwe IDRS-standaard, tot nu toe bekend als NOREA Reporting Initiative (NRI), is bedoeld om alle IT-processen en -beveiliging vast te leggen in één document van circa veertig pagina's. De standaard is gericht op de IT-beheersing van een organisatie en heeft betrekking op thema's als cybersecurity, privacy en databeheer. Die thema's zijn volgens Welters met elkaar verwezen, stelt hij in het FD. "Als je alleen naar cybersecurity kijkt, maar je hebt alles geoutsourcet naar cloudleveranciers, dan mis je een belangrijk deel van je beveiligingsbeeld."
Volgens Arcadis-bestuurder Hans Dekker helpt de standaard bij de beveiliging van IT-systemen. "We nemen regelmatig bedrijven over. Die stonden medewerkers soms toe eigen software te installeren of onzorgvuldiger om te gaan met beveiligingsupdates, precies de kwetsbaarheden waar hackers op azen", legt hij uit in het FD.
Samenwerking
NOREA werkt samen met tien partijen, waaronder De Nederlandsche Bank, de Rijksinspectie Digitale Infrastructuur, ministeries, universiteiten en het bedrijfsleven, om de standaard te onderhouden en verder te ontwikkelen. Tegenover het FD geeft voorzitter Welters aan te hopen dat ook de overheid de standaard zal omarmen.
Daarnaast is NOREA in gesprek met Brussel om de standaard Europees uit te rollen, omdat relevante wetten als DORA en NIS2 een Europese dekking hebben. "Waarom zou je dat alleen voor Nederland beschikbaar houden?", aldus Welters.
Gerelateerd
Extra budget voor betere digitale veiligheid mkb
Cyberaanvallen raken steeds vaker ook het midden- en kleinbedrijf, maar vaak hebben mkb-ondernemers niet de capaciteit of kennis om zich hier goed tegen te beschermen....
AP gaat beveiliging data bij ICT-leveranciers controleren
De Autoriteit Persoonsgegevens (AP) gaat bij een aantal ICT-leveranciers in Nederland preventief controleren hoe zij de digitale beveiliging hebben geregeld. Zo...
SRA getroffen door cyberaanval
De SRA is getroffen door een cyberaanval. De aanval was gericht op inactieve bestandsservers, die in januari 2026 buiten gebruik waren gesteld. De dagelijkse operatie...
'Datalekken veroorzaakt door te weinig controle'
Meer controles zijn nodig om ervoor te zorgen dat bedrijven en organisaties hun gegevens goed beschermen. Dat is de conclusie van Bits of Freedom, de stichting die...
Maatregelen na hack bij ministerie van Financiën raken onder meer schatkistbankieren
Ingestelde maatregelen op het ministerie van Financiën, na een digitale inbraak, raken onder meer zo'n 1.600 publieke instellingen die hun overtollige gelden bij...