Het wordt voor bedrijven eenvoudiger om te voldoen aan de wettelijke vereisten die vanuit de EU en Nederland worden gesteld aan het digitale domein. De Online Trust Coalitie (OTC) heeft drie praktische tools ontwikkeld die organisaties op dit gebied goed kunnen ondersteunen. Dinsdag 20 mei presenteert de OTC in Den Haag deze oplossingen die wet- en regelgeving beter uitvoerbaar maken. Behalve tot minder regeldruk dragen ze ook bij aan het versterken van de digitale weerbaarheid.
Michiel Steltman, OTC-kernteamlid en jarenlang spreekbuis van de sector digitale infrastructuur, is enthousiast. ‘Eindelijk wordt nu een basis gelegd voor het op orde brengen van de digitale hygiëne.’ Centraal staat dinsdag de lancering van de nieuwe Internationale Digital Reporting Standard (IDRS), de voortzetting van het Norea Reporting Initiative (NRI). Dit initiatief van Norea, de beroepsorganisatie van IT-auditors, gaat volgens Steltman hoge vlucht nemen. IDRS is het resultaat van vijf jaar noeste arbeid.
Met dit gestandaardiseerd raamwerk kunnen organisaties met één document van ongeveer 40 tot 45 pagina’s aan hun stakeholders rapporteren hoe het er voor staat met hun it-processen en beveiliging. Dat helpt bedrijven ook om te voldoen aan de meer dan honderd EU-wetten die betrekking hebben op it, cybersecurity en privacy. Voorbeelden zijn Dora, NIS2 en AVG.
Ze kunnen hiermee op een geharmoniseerde en inzichtelijke manier aantonen dat ze grip hebben op IT, digitalisering en weerbaarheid. Volgens Steltman stelt dit stakeholders als commissarissen en externe toezichthouders in staat om snel te zien of de it goed wordt bestuurd. In plaats van losse rapportages per wet ontstaat er zo één duidelijke en complete verantwoordingslijn.
Financiële wereld
Steltman vergelijkt deze rapportage-standaarden met wat eerder gebeurde in de financiële wereld. Het boekhoudfraude rond het Amerikaanse energiebedrijf Enron en het WorldCom-schandaal aan het begin van deze eeuw leidden tot hervormingen in de manier waarop bedrijven over hun financiën rapporteren.
IDRS verhoogt de transparantie bij de digitalisering. Deze standaard tilt de it-aspecten naar een hoger niveau. Op de directietafel komt nu een rapportage waar de hele ondernemingsleiding iets aan heeft. Ook mensen die geen bijzondere ict-kennis hebben, krijgen duidelijk inzicht in de wijze waarop bedrijven hun it beheersen en risico’s managen. En alles in gewone mensentaal.
De IDRS-standaard omvat zes onderwerpen: data en ethiek, digitale weerbaarheid, cybersecurity, grip op de aanlevering (sourcing), privacy en de vraag of voldoende aan digitalisering doet. Onafhankelijke auditors beoordelen de effectiviteit van de genomen maatregelen, zodat belanghebbenden vertrouwen kunnen hebben dat de organisatie risico’s voldoende beheerst . Dat helpt ook als de organisatie een (cloud)dienstverlener is.
Geen dubbel werk
Het gebruik van één rapportage-standaard voorkomt veel dubbel werk. ‘Je hoeft het maar een keer goed te doen,’ aldus Steltman, die benadrukt dat het niet om het zoveelste normenkader gaat. Dit gaat echt om managen, besturen en ‘in control’ zijn. Inmiddels werken Arcadis en zorgverzekeraar CZ met deze standaard voor het ‘cyberjaarverslag’. Norea werkt samen met onder andere De Nederlandsche Bank, ministeries en universiteiten om de standaard verder te ontwikkelen. Norea hoopt dat de overheid de standaard zal omarmen en werkt aan een Europese uitrol.
In aansluiting op de communicatie via IDRS richting stakeholders komt er ook een Holistisch Data Model (HDM). Daarin zitten de controle-aspecten; gemeenschappelijke criteria voor goed bestuur. Organisaties kunnen hun beheersing van het digitale domein zodanig inrichten dat in één keer wordt voldaan aan meerdere reguleringen. EY ontwikkelde dit model samen met OTC.
De derde handige tool ter ondersteuning is een overzicht van de negentien belangrijkste reguleringen op it-gebied. Bedrijven kunnen hier zien welke wetten voor hen gelden en wat je als bestuurder moet doen. ICT Recht stelt dit overzicht samen. De bijeenkomst ‘Uitvoerbare wetgeving: gezonde vermindering van regeldruk’ wordt dinsdag georganiseerd door ECP I Platform voor de InformatieSamenleving. Dit gebeurt in samenwerking met het ministerie van Economische Zaken en de Online Trust Coalitie.
