Gastblog: Externe rapportage over een volledig beeld van digitale risico’s
In onze gastblogs geven we kennispartners de gelegenheid hun blik en expertise te laten schijnen over een actueel onderwerp. Deze bijdrage is van Jan Matto van Forvis Mazars Accountants & Adviseurs.
Digitalisering speelt een vitale rol in onze samenleving en zo ook digitale dienstverleners. Ons dagelijks leven is nauwelijks nog voor te stellen zonder digitale diensten of producten. Bedrijven, hele sectoren en supply chains kunnen niet meer functioneren zonder de beschikbaarheid van digitale systemen en de daarmee verwerkte data. Denk bijvoorbeeld aan de recente grootschalige uitval van vliegverkeer door een cyberaanval. De keerzijde van voortschrijdende digitalisering is dat het nieuwe afhankelijkheden en risico’s met zich meebrengt. Het gaat dan niet alleen meer om risico’s op het niveau van het individuele bedrijf, maar ook om risico’s die hele ketens kunnen raken of zelfs maatschappelijk ontwrichtend kunnen zijn.
Uitstralingseffect van risico’s
De Europese Commissie spreekt over systemische risico’s. Risico’s die als een soort domino-effect hele ecosystemen kunnen raken. Juist dit uitstralingseffect van digitale risico’s is de reden dat er een golf aan wetgeving is ingevoerd of aangekondigd in het digitale domein, waarbij direct of indirect een grote verantwoordelijkheid wordt gelegd bij digitale dienstverleners. In totaal betreft dit momenteel 103 verschillende wetten en reguleringen op Europeesniveau. De AVG, DORA en NIS2 zijn momenteel de meest bekende, maar vormen een topje van een ijsberg.
Inzicht is nodig, maar mist
Het is duidelijk dat er een grote maatschappelijke verantwoordelijkheid ligt bij digitale dienstverleners als het gaat om het beheersen van digitale risico’s. We zien ook dat afnemers van digitale diensten mede onderdruk van regelgeving meer en meer inzicht vragen aan hun IT dienstverleners over de beheersing van risico’s. Er is hierdoor grote behoefte aan eenduidigheid over hoe extern gerapporteerd kan worden over de beheersing van digitale risico’s. Sommige rapportagestandaarden richten zich op specifieke wetten of aspecten van digitale risico’s, bijvoorbeeld privacybescherming, cybersecurity of bedrijfscontinuïteit of zijn soms themagericht, bijvoorbeeld op Artificial Intelligence. Anders gezegd, er is geen holistische standaard voor hoe gerapporteerd kan worden over digitale risico’s en welke onderwerpen daar dan in behandeld zouden moeten worden.
International Digital Reporting Standard (IDRS)
Dit was reden voor de beroepsorganisatie van IT Auditors (NOREA) om eens te onderzoeken waar nu de informatiebehoefte zit bij bedrijven als het gaat om de beheersing van digitale risico’s. Hiervoor is gesproken met directieleden van organisaties, maar ook met commissarissen en toezichthouders. Uit deze inventarisatie kwam naar voren dat de beschikbare informatie over de beheersing van digitale risico’s over het algemeen fragmentarisch is en een volledig beeld ontbreekt bij deze stakeholders. De vraagstelling welke inzichten in digitale risico’s gewenst zijn leverde de volgende ‘key-topics’ op:
- Digital innovation and transformation
- Data & AI, waaronder ook data ethics
- Thrid Party Risk Management, digital supply chain risks
- Cybersecurity
- IT Continuity Management
- Privacy.
NOREA heeft deze rapportagestandaard doorontwikkeld, waarbij uitdrukkelijk voor een risicobenadering is gekozen en schaalbaarheid mogelijk is. De rapportagestandaard is gepubliceerd onder de naam International Digital Reporting Standard (IDRS). De Nederlandse Tweede Kamer heeft op basis van de motie Kathmann (27 mei 2025) besloten om te onderzoeken of deze standaard uitkomst kan bieden om de externe rapportage over digitale risico’s te stroomlijnen en de gevolgen van regeldruk te verkleinen.
Vanuit marktperspectief is het voor digitale dienstverleners goed om na te gaan waar de informatiebehoefte zit bij afnemers voor het beheersen van digitale risico’s. De rapportagestandaard kan helpen als inspiratiebron om deze informatiebehoefte te identificeren.
Volg de training ISAE & SOC2: nu met 50% korting voor leden
Wil je meer grip krijgen op cyberrisico’s én de assurance-standaarden die daarbij een rol spelen? Schrijf je dan in voor de tweedaagse training van Forvis Mazars: ‘ISAE 3402, ISAE 3000 en SOC2 in de praktijk’ op 19 en 20 november 2025.
Tijdens deze training leer je hoe je deze standaarden effectief toepast binnen uw organisatie en hoe je cyberrisico’s aantoonbaar beheerst in lijn met actuele wet- en regelgeving zoals NIS2 en DORA. NLdigital-leden profiteren van 50% korting op de deelnamekosten. Deelnemers ontvangen bovendien 12 PE-punten.
Gerelateerde artikelen
Gastblog Forvis Mazars: Hoera, we hebben een cyberincident!
Digitalisering: een sociaal maatschappelijk en macro-economisch thema
