Nog een jaarverslag?

Wie regelmatig de krant openslaat kent de berichten over datalekken bij grote ondernemingen. Tegelijkertijd schieten veel bedrijven nog steeds tekort in hun cyberveiligheid en hebben CEO’s hun eigen aansprakelijkheid onvoldoende op het netvlies, blijkt uit een recente waarschuwing van de cybersecurityraad.

Met de komst van Europese regels waaronder de NIS2-richtlijn krijgen bedrijven die een rol hebben in kritieke processen, zoals voedselvoorziening, gezondheidszorg, energie en betalingsverkeer, een zorgplicht die juridisch is verankerd, met bestuurlijke aansprakelijkheid bij nalatigheid.

Dit betekent actiever toezicht op risico’s, bijsturen en zorgen dat ook toeleveranciers hun zaken op orde hebben. Wie daarin faalt, riskeert niet alleen boetes, maar ook tijdelijke schorsingen, aansprakelijkheid en reputatieschade. Toch is het bewustzijn nog laag. Veel bedrijven weten niet welke regels voor hen gelden. Het Nederlandse midden- en kleinbedrijf, met vaak een belangrijke rol in toeleveringsketens, is door gebrek aan kennis een kwetsbare schakel en dus een makkelijk doelwit.

Bereid je voor en laat het zien
Hoewel het in kaart brengen van risico’s altijd al een belangrijk aspect is geweest van due diligence, krijgt in een markt met onzekerheid en hogere financieringskosten ook het aanpassingsvermogen van een onderneming steeds meer aandacht. Door de internationale conflicten nemen digitale risico’s toe en worden toeleveringsketens kwetsbaarder. Weerbaarheid is daarom een bepalende factor bij de waardering van bedrijven. Cybersecurity wordt een strategisch vraagstuk dat direct raakt aan de reputatie en het toekomstig verdienvermogen.

Een ‘cyberjaarverslag’ kan bedrijven helpen grip te krijgen op hun digitale veiligheid en de regelgeving. Maar weerbaarheid is geen technisch vinkje. Het moet leven binnen de organisatie en bij partners. Medewerkers en leveranciers moeten begrijpen wat er op het spel staat. Dat begint met proactieve communicatie. Door uit te leggen aan welke processen je werkt en welke risico’s daaraan zijn verbonden, versterk je het bewustzijn van de maatschappelijke rol. Wie werkt bij een bedrijf dat werkt aan kritieke infrastructuur, moet weten dat zorgvuldigheid ertoe doet.

Cyber als pijler van een geloofwaardige equity story
Dat verhaal creëert verantwoordelijkheidsgevoel en draagt ook bij aan trots. Het biedt een kans om je maatschappelijke relevantie tastbaar te maken, medewerkers aan te trekken en klanten te binden. Het vergroot het vertrouwen van toezichthouders en versterkt je bedrijfswaardering. Het hoort niet thuis in de marge van een risicoparagraaf, maar in het hart van je positionering, als pijler van een geloofwaardige equity story.

Als er vroeg of laat wat misgaat, wil je aantonen dat je je verantwoordelijkheid serieus hebt genomen. Het is naïef te denken dat je elk risico kunt uitsluiten. Maar je kunt wel bewijzen dat je weet wat je doet: dat je systemen op orde zijn, dat je oefent met scenario’s, en dat je transparant bent. Dat geeft vertrouwen en maakt je geloofwaardiger in tijden van crisis.

Maatschappelijke verantwoordelijkheid
Steeds meer organisaties zetten digitale paraatheid in als troef: bij aanbestedingen, fusies en overnames. Bedrijven als Arcadis en ASR gebruiken hun ‘cyberjaarverslag’ om te benadrukken dat zij grip hebben op processen en compliance. In een wereld waarin afhankelijkheden scherp worden uitgelegd en incidenten het nieuws domineren, trekt veerkracht ook investeerders.

De dreiging is overal om ons heen zichtbaar, maar de spelregels nog niet. Daar ligt een taak voor bestuurders. Loop voorop, bereid je voor en neem leveranciers mee in de stappen die je zet. Wees trots op je maatschappelijke verantwoordelijkheid als onderneming en laat zien wat je doet.

Uneke Dekkers heeft ruim 25 jaar ervaring in corporate en financiële communicatie en is sinds 2012 managing director van CFF Communications.

CFF Communications is partner van de M&A Community