Begin deze maand organiseerden wij de Kennissessie Data- en Informatiebeveiliging. Tijdens deze sessie werden aanwezigen meegenomen in het belang van een goed beleid op dit gebied en hebben wij de leidraad van de ISO27001 onder de aandacht gebracht.

Een boeiende sessie over een soms best taai onderwerp

Voor velen zal de ISO27001 niet weglezen zoals je dit doet met een goed boek tijdens je welverdiende vakantie. De stof vereist daarom oplettendheid en scherpte, iets waar onze gastspreker goed mee uit de voeten kan. Met humor en passende voorbeelden wist hij de groep enorm te boeien.

Kon je niet aanwezig zijn, dan hebben wij geweldig nieuws:

• Wij zijn voornemens om kort na de zomerperiode een nieuwe sessie te organiseren met onveranderd onderwerp en spreker;
• Onderstaand nemen wij je graag mee in de grote lijnen. Wil je meer weten, dan zien wij je graag bij de volgende sessie.

De belangrijkste punten van de Kennissessie Data- en Informatiebeveiliging

De afkorting CIA blijkt al in het eerste kwartier van de Kennissessie niet alleen te staan voor de welbekende Amerikaanse instelling maar ook een fijn ezelsbruggetje te zijn voor de pijlers van informatiebeveiliging, namelijk:

Confidentiality (vertrouwelijkheid): Denk hierbij aan het voorkomen van ongewenste toegang tot bepaalde gegevens. Weinigen wensen dat banksaldi, personeelsgegevens en medische gegevens voor iedereen inzichtelijk is.

Integrity (integriteit): Alleen wanneer de juistheid van data gegarandeerd kan worden, heeft het waarde. Wijzigingen dienen alleen doorgevoerd te kunnen worden, wanneer hier authorisatie toe bestaat. Kijken we wederom naar het banksaldi, dan is het fijn dat de app van jouw bank het juiste getal aangeeft. Je zou je een ongeluk schrikken als dit niet zo was!

Availability (beschikbaarheid): Banksaldi, personeelsgegevens en medische gegevens dienen beschikbaar te zijn wanneer deze opgevraagd worden. Zijn deze gegevens niet beschikbaar, dan variëren de gevolgen van erg vervelend tot potentieel levensbedreigend.

Bij het uitvoeren van risicobeheersing worden risico’s op afwijkingen van bovenstaande (1) geïdentificeerd, (2) beoordeeld en (3) beheerst om zo de impact te minimaliseren.

Rol van de ISO27001 bij Data- en Informatiebeveiliging

De ISO27001 norm specificeert de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een informatieveiligheidsbeheersysteem (ISMS) binnen de context van de organisatie. Dit document bevat ook vereisten voor de beoordeling en behandeling van informatiebeveiligingsrisico’s, afgestemd op de behoeften van de organisatie. Op de ISO27001 zijn wij uitgebreid ingegaan.

Een populair onderwerp

Het onderwerp Data- en Informatiebeveiliging, of afgeleiden van dit onderwerp, haalt geregeld het nieuws en opdrachtgevers worden steeds nieuwsgieriger wat ketenpartners doen met gedeelde informatie én hoe goed zij dit beveiligen.

Binnen Nederland stijgt het ISO27001 gecertificeerde organisaties snel. Wat er eind 2022 binnen Nederland 1.741 organisaties gecertificeerd waren, steeg dit aantal in een jaar tijd tot 3.111 per ultimo 2023. Voor eind 2024 is een verdere (exponentiële) stijging te verwachten.

Deelnemen aan de volgende sessie

Wil jij deelnemen aan de eerstvolgende Data- en Informatiebeveiliging kennissessie? De plaatsen zijn beperkt. Meld je alvast aan via onze voorinschrijving hier.

Voor wie er een hobby van maakt om jaarrekeningen te bekijken, is het niet nieuw dat in de financiële verslaglegging van bedrijven naast harde cijfers, veelal ook wordt gerapporteerd over wat er is ondernomen op niet financieel gebied. Denk hierbij aan het verstrekken van gelijke kansen aan medewerkers tot aan de veiligheidssituatie. Vanaf dit kalenderjaar wordt het voor sommige ondernemingen verplicht om te rapporteren over de duurzaamheid.

De CSRD in een notendop

De Corporate Sustainability Reporting Directive (CSRD) is een recente Europese wetgeving die bedoeld is om de transparantie en kwaliteit van duurzaamheidsrapportage door bedrijven te verbeteren. Het is een uitbreiding en versterking van de bestaande Non-Financial Reporting Directive (NFRD), waarover later meer, en heeft als doel om investeerders en andere belanghebbenden beter te informeren over de milieueffecten, sociale impact en governance van bedrijven. Dat is uiteraard heel hoog over.

Achtergrond en Doelstellingen

De CSRD werd in april 2021 door de Europese Commissie voorgesteld als onderdeel van de bredere Green Deal-strategie. Aanvoerder van dit plan was Frans Timmermans. De richtlijn heeft als doel om duurzaamheid een centrale plaats te geven in het bedrijfsleven en bij te dragen aan de overgang naar een meer duurzame en circulaire economie. Dit wordt bereikt door bedrijven te verplichten om gedetailleerdere en gestandaardiseerde rapporten te verstrekken over hun niet-financiële prestaties.

Belangrijkste Wijzigingen ten Opzichte van de NFRD

De CSRD introduceert verschillende belangrijke wijzigingen en verbeteringen ten opzichte van de NFRD:

1. Uitgebreid toepassingsgebied:

Waar de NFRD van toepassing was op ongeveer 11.000 bedrijven, zal de CSRD gelden voor ongeveer 50.000 bedrijven in de EU, inclusief grote bedrijven en beursgenoteerde kleine en middelgrote ondernemingen (KMO’s), met uitzondering van micro-ondernemingen. De kans is dus substantieel groter dat dit verplichtingen oplevert voor jouw organisatie of werkgever.

2. Gestandaardiseerde rapportage:

De CSRD vereist dat bedrijven rapporteren volgens gestandaardiseerde duurzaamheidsrapportage standaarden, die ontwikkeld worden door de European Financial Reporting Advisory Group (EFRAG). Dit zorgt voor consistentie en vergelijkbaarheid van de gerapporteerde gegevens.

3. Externe verificatie:

Bedrijven moeten hun duurzaamheidsrapporten laten verifiëren door een onafhankelijke auditor of certificeringsinstantie. Dit verhoogt de betrouwbaarheid van de informatie.

4. Digitale rapportage:

De CSRD moedigt digitale rapportage aan door te eisen dat de duurzaamheidsinformatie in een elektronisch format wordt gerapporteerd, wat de toegang en analyse van gegevens vergemakkelijkt.

Belang en Voordelen

Heb je dit dan (eindelijk) op orde, dan kun je een aantal voordelen in je SWOT analyse bijvoegen, althans – zo wordt het gepresenteerd. Deze voordelen zijn:

• Verbeterde transparantie:

Door gestandaardiseerde en gedetailleerde rapportage krijgen investeerders en andere belanghebbenden beter inzicht in de duurzaamheidspraktijken van bedrijven. Dit helpt hen om beter geïnformeerde beslissingen te nemen.

• Verhoogde verantwoordelijkheid:

Bedrijven worden aangespoord om verantwoordelijkheid te nemen voor hun milieu- en sociale impact. Dit kan leiden tot verbeterde bedrijfspraktijken en een grotere focus op duurzaamheid.

• Concurrentievoordeel:

Bedrijven die effectief rapporteren over hun duurzaamheidsprestaties kunnen een concurrentievoordeel behalen door hun toewijding aan duurzaamheid te tonen aan klanten, investeerders en partners.

Uitdagingen en Overwegingen

Uiteraard is de CSRD een toevoeging op de hoeveelheid regels waaraan een onderneming moet voldoen. Mede hiermee brengt de CSRD een aantal uitdagingen met zich mee:

• Kosten en middelen:

Het opzetten van systemen voor gedetailleerde en gestandaardiseerde duurzaamheidsrapportage kan aanzienlijke investeringen vergen, vooral voor kleinere bedrijven.

• Complexiteit:

De nieuwe rapportagevereisten kunnen complex zijn en vereisen een goede kennis van de duurzaamheidstandaarden en -richtlijnen.

• Aanpassingstijd:

Bedrijven moeten voldoende tijd krijgen om zich aan te passen aan de nieuwe vereisten en om interne processen en systemen op te zetten.

Kort samengevat:

De Corporate Sustainability Reporting Directive (CSRD) is een stap in de richting van meer transparantie en verantwoordelijkheid op het gebied van duurzaamheid in het bedrijfsleven. Het brengt voor organisaties een toevoeging in de portefeuille aan regels waaraan ondernemingen moeten voldoen. Hoewel dit uitdagingen met zich meebrengt, biedt het ook voordelen voor bedrijven en hun belanghebbenden. Door de nadruk te leggen op gestandaardiseerde rapportage, externe verificatie en digitale toegankelijkheid, helpt de CSRD om een duurzamer en veerkrachtiger bedrijfslandschap in Europa te creëren.

Extra bomen kunnen het bos onvindbaar maken, zeker gezien dit niet de eerste toevoeging van de afgelopen jaren is op de set aan regels waaraan ondernemingen moeten voldoen. In zulke gevallen ondersteunen wij organisaties graag met het brengen van overzicht, het neerleggen van een roadmap of het ontlasten op het niveau van uitvoering van werkzaamheden. Zoals bij elke implementatie geldt dat vooruitlopen, loont.

 

Op 10 september 2024 organiseert BURG een kennissessie met als onderwerp CRSD. Wil je hier bij zijn? Meld je dan hier aan!