Norea, de beroepsorganisatie van IT-auditors, introduceert de International Digital Reporting Standards (IDRS). Daarmee is er nu een uniforme manier voor organisaties om hun digitale beveiliging en IT-compliance gestructureerd vast te leggen.
Dit meldt het FD. Bedrijven leggen hun digitale beveiliging en IT-compliance vast in een cyberjaarverslag en bundelen zo alle relevante IT-processen, beveiligingsmaatregelen en compliance-informatie in één overzichtelijk document. Dit verslag vervangt tientallen losse rapportages die bedrijven vaak noodgedwongen opstellen voor uiteenlopende wet- en regelgeving, auditors en klanten.
De IDRS is ontwikkeld door Norea dat al in 2020 in een werkgroep startte met de ontwikkeling van een standaard voor een IT-verslag en -assurancerapport waarmee bedrijven en organisaties jaarlijks kunnen rapporteren over hun IT-beheersing. De beroepsorganisatie werkte daarvoor samen met toezichthouders, ministeries, universiteiten en het bedrijfsleven. Het doel: overzicht creëren in het groeiend woud aan eisen die voortkomen uit Europese wetten zoals NIS2, DORA en de AVG.
Zes domeinen
Wat de IDRS onderscheidt, is dat het zes centrale domeinen binnen digitale beheersing combineert, waaronder cybersecurity, privacy, databeheer en risicomanagement. Door alles in één document te centraliseren, kunnen bedrijven eenvoudiger aantonen dat ze voldoen aan meer dan honderd IT-gerelateerde regelgevingseisen.
Daarnaast biedt het praktische voordelen, bijvoorbeeld bij aanbestedingen of gesprekken met toezichthouders. Ook biedt het intern waardevol inzicht in kwetsbaarheden binnen het IT-landschap, zoals achterhaalde software of gebrekkige updateprocedures.
Hoewel het opstellen van het eerste cyberjaarverslag een tijdsinvestering vergt, gemiddeld enkele maanden, is het onderhoud daarna relatief eenvoudig. Periodieke updates maken het tot een dynamisch instrument, passend bij veranderende risico’s en regelgeving.
Norea werkt momenteel aan de verdere doorontwikkeling van de standaard, met de ambitie deze ook op Europees niveau erkend te krijgen. Gezien de toenemende onderlinge afhankelijkheid van digitale infrastructuren en de snelle groei van Europese compliance-eisen, lijkt brede adoptie van een uniforme rapportagestandaard geen luxe, maar noodzaak.