IDRS platform

Beheersing van IT verdient complete reset: Van versnipperde compliance naar holistisch kader

In een hyperdigitale wereld draait alles om betrouwbare en stabiele IT-systemen. Zonder vertrouwen in deze systemen zou de maatschappij niet langer functioneren. Organisaties kunnen dit vertrouwen actief versterken door op de juiste manier inzicht te geven in hun digitale systemen. Om dat effectief te doen, is een geheel nieuw concept nodig voor IT-rapportages.

IDRS standaarden

Organisaties kunnen de IDRS (International Digital Reporting Standards) toepassen voor het opstellen van een verslag over IT-beheersing. Het doel is om transparantie te bieden aan overheden, toezichthouders, bestuurders en commissarissen over de digitale weerbaarheid van een organisatie. De voordelen van het verslag zijn:

  1. Geen dubbel werk: IDRS vermindert de hoeveelheid papier door een geïntegreerde aanpak te bieden, wat leidt tot minder dubbel werk.
  2. Geschikt voor bestuurders en toezichthouders: IDRS is ontworpen in begrijpelijke taal, waardoor het toegankelijk is voor zowel ICT-bestuurders als niet-ICT-bestuurders.
  3. Vertrouwen en innovatie: IDRS vergroot het vertrouwen in organisaties doordat zij inzicht en controle geven over hun IT-beheersing.
  4. Transparantie en verantwoording: IDRS biedt transparantie over digitale basishygiëne, privacy, ethiek, weerbaarheid, continuïteit, en verantwoord uitbesteden.
  5. Integrale rapportage: IDRS fungeert als een integraal verslag van IT-beheersing, vervangt versnipperde compliance-rapportages en dicht de technisch-bestuurlijke kloof.
  6. Onafhankelijke standaard: IDRS is een onafhankelijke standaard ondersteund door twaalf organisaties waarvan een aantal al werken met IDRS.
  7. Volledige IT-scope: IDRS biedt een volledige IT-scope in één document, dat direct inzicht geeft in de basisvoorwaarden voor IT-beheersing maar ook ten aanzien van risk management en compliance.

Dit conform IDRS opgestelde verslag zorgt ervoor dat organisaties veel efficiënter kunnen aantonen dat zij voldoen aan wetten en regels voor beheersing van IT en dat partners en de maatschappij kunnen blijven rekenen op betrouwbare systemen.

Wetgeving effectief borgen in organisaties via hun IT-beheersing

Europese Digitale Wetgeving beoogt de weerbaarheid en autonomie te vergroten en soevereiniteit te herwinnen op het gebied van waarden, innovatie en duurzaamheid. De EU heeft meer dan 100 wetten in ontwikkeling die het digitale domein raken, maar er ontbreekt één samenhangende standaard voor het management van organisaties om hier zicht op te houden binnen een organisatie.

Uitdagingen voor organisaties

Het uitdijende stelsel van regelgeving (en bijbehorende verantwoording) brengt een aantal uitdagingen met zich mee:

  1. Maakt de regelgeving onze maatschappij veiliger en weerbaarder?
  2. Is toezicht op naleving van de regelgeving effectief?
  3. Is de lastendruk die hieruit voor organisaties voortvloeit binnen de perken te houden?
  4. Zijn bestuurders in staat om de verantwoording te dragen die door de reguleringen expliciet bij hen wordt neergelegd?
  5. Wat zijn de gevolgen voor onze nationale concurrentiepositie?

Om aan deze uitdagingen het hoofd te kunnen bieden, is een reset nodig die de geest van de regelgeving in acht neemt, maar dat vele malen efficiënter en effectiever doet. En dat is precies wat dé IDRS standaarden doen!

De IDRS biedt één integraal IT-verslag voor het management van organisaties om zich te verantwoorden en belanghebbenden te informeren over IT-Governance, Risk en Compliance en essentiële IT-onderwerpen, zoals digitale innovatie en transformatie, data governance en ethiek, outsourcing, cybersecurity, IT-continuity management en privacy.

Voor welke organisaties is toepassing van de IDRS standaarden waardevol?

Klik op een titel om de tekst uit te klappen.

Lokale overheid

Voor provincies en gemeenten neemt het belang van gestructureerd inzicht in digitale sturing snel toe door complexe processen en groeiende afhankelijkheid van IT. Huidige en aankomende regelgeving op het gebied van gegevensuitwisseling, informatiebeveiliging en privacy verhoogt de druk om aan te tonen dat digitale risico’s onder controle zijn en dat wordt voldaan aan verantwoordingsplichten.

Door de toegenomen regeldruk (zoals DigiD-, ENSIA-, BIO2-, Wpg-, AVG- en NIS2-rapportages) en de vele digitale ketens waarin lokale overheden opereren, wordt het steeds lastiger om overzicht te houden. Digitale sturing begint bij samenhang en duidelijk eigenaarschap, zodat governance en verantwoordelijkheden helder zijn belegd.

De IDRS-standaard biedt een structuur die ontwikkeling, risico’s en realistische vervolgstappen inzichtelijk maakt. Daarmee ondersteunt zij bestuurlijke besluitvorming en kan zij bestaande rapportages bundelen, wat leidt tot minder regeldruk.

Rijksoverheid

Voor de Rijksoverheid is het cruciaal om volledig inzicht te hebben in de veiligheid en digitale weerbaarheid van de instanties die onder haar verantwoordelijkheid vallen, evenals in de soevereiniteit en weerbaarheid van Nederland als geheel.

Zolang dit inzicht versnipperd is over verschillende verantwoordingsrapportages, blijft het lastig om risico’s tijdig te herkennen en aan te tonen dat de nationale digitale infrastructuur robuust en betrouwbaar is. Europese regelgeving stelt bovendien steeds strengere eisen aan transparantie, risicobeheersing en aantoonbare digitale weerbaarheid.

Een uniforme IDRS-rapportage biedt samenhang en volledigheid wanneer overheidsorganen gestructureerd rapporteren over hun IT-beheersing.

Toezichthouders

Toezichthouders zoals DNB, RDI en AFM moeten beschikken over betrouwbare en vergelijkbare informatie over compliance van onder toezicht staande instellingen. In de praktijk zijn IT-compliancerapportages vaak gefragmenteerd en verschillen ze sterk in detailniveau.

Hierdoor ontbreekt een consistent totaalbeeld van IT-compliance en wordt het lastiger om digitale risico’s zorgvuldig te beoordelen. Variatie in rapportagevormen kan bovendien leiden tot hogere toezichtlast voor zowel instellingen als toezichthouders.

De IDRS biedt een uniforme en holistische IT-rapportagestandaard, versterkt de kwaliteit en voorspelbaarheid van toezicht en maakt inzichtelijk in hoeverre een organisatie ‘in control’ is.

Bestuurders en commissarissen

De verantwoordelijkheid voor IT ligt steeds nadrukkelijker bij bestuurders en commissarissen. Artikel 24 van de Cyberbeveiligingswet beschrijft de governance van IT bij essentiële entiteiten en artikel 5 van DORA de inrichting van ICT-risicobeheer bij financiële instellingen.

De Nederlandse Corporate Governance Code vraagt bovendien om een Verklaring Omtrent Risicobeheersing (VOR), waarin ook IT-risico’s moeten worden geadresseerd. Dit vereist dat bestuurders beschikken over voldoende inzicht in de opzet en werking van de interne IT-beheersing.

Een rapportage op basis van de IDRS kan hierbij een waardevol instrument zijn.

Meer grip op digitale risico’s en meer transparantie door integraal IT-verslag

De IDRS is ontwikkeld om grip te krijgen op digitale risico’s en om versnipperde IT-verantwoording te vervangen door één integraal samenhangend rapport. In een wereld waarin IT de kern vormt van vrijwel alle bedrijfsprocessen is transparantie over digitale veiligheid en compliance cruciaal. De inzet van de IDRS helpt organisaties om stakeholders te informeren, vertrouwen te versterken en strategische keuzes te onderbouwen. Het biedt ook een raamwerk voor assurance, oftewel zekerheid over de betrouwbaarheid van het IT-rapport door auditors.

Door jaarlijks te rapporteren als onderdeel van de PDCA-cyclus (Plan–Do–Check–Act), krijgen organisaties beter inzicht in hun digitale kwetsbaarheden, verbeterpunten en strategische IT-doelen. Dit leidt tot meer grip op IT-processen, betere besluitvorming en minder verrassingen bij incidenten of audits.

Vergroten van digitale weerbaarheid en economische slagkracht

Door de beheersing van IT te documenteren, ontstaat een cultuur van digitale verantwoordelijkheid. De toepassing van de IDRS maakt kwetsbaarheden zichtbaar en stimuleert verbeteracties, waardoor de digitale weerbaarheid toeneemt.

Hiermee wordt de economische slagkracht vergroot, doordat verbeteringen in IT-beheersing worden doorgevoerd en naleving van de relevante wetgeving daadwerkelijk bijdraagt aan die slagkracht, autonomie en waarden van een organisatie. Tevens vermindert het compliancekosten en -risico’s om niet aan deze wetten te voldoen.

Het idee is in de kern heel simpel. Organisaties geven nu elk jaar inzicht in hun financiële performance (en de maatschappelijke impact) in een jaarverslag. Op soortgelijke wijze is het nu ook mogelijk een verslag over hun IT-beheersing uit te brengen.

Rapportages volgens één standaard

De periodieke interne rapportages en jaarlijkse externe rapportages versterken het vertrouwen in ecosystemen en geven inzicht in de digitale basishygiëne van organisaties. Dit maakt het leven voor marktpartijen, afnemers, leveranciers en financiers van digitale diensten een stuk eenvoudiger, maar ook voor de overheid, bestuurders, commissarissen en toezichthouders. Als het gaat om transparantie en verantwoording over digitale veiligheid kan de markt haar werk doen.

Interesse om de IDRS standaarden in uw organisatie toe te passen?

De IDRS is beschikbaar om toe te passen binnen uw organisatie, nationaal en internationaal. Maak gratis kennis met dit nieuwe instrument voor uw IT-beheersing. U kunt de IDRS hier aanvragen.

Interesse in meer informatie? Raadpleeg ons overzicht met veelgestelde vragen. Wilt u advies over de toepassing van de IDRS in uw organisatie? Neem dan contact op met Lisanne van Helten, zij brengt u graag in contact met een expert.

 

Doelstellingen IDRS platform

NOREA, de beroepsorganisatie van alle in Nederland geregistreerde IT-auditors, heeft enige jaren geleden het initiatief genomen de ontwikkeling van de IDRS op te starten. Inmiddels is dankzij een groep van initiatiefnemers de IDRS uitgegroeid tot het IDRS-platform dat de samenwerking tussen stakeholders rond digitale wetgevingen organiseert.

Het IDRS-platform richt zich op drie hoofdactiviteiten, te weten: het delen van kennis en best practices tussen verstrekkers, ontvangers en IT-auditors, meningsvorming en evaluatie rondom komende en bestaande wetgeving en het verder ontwikkelen en het beheer van de IDRS.

  • Nieuwe wetten kunnen aanleiding zijn tot het aanpassen van de standaard.
  • Nieuwe IT-ontwikkelingen (bijvoorbeeld quantum) kunnen een aanleiding zijn tot het aanpassen de standaard.
  • Aan de IDRS onderliggende kaders kunnen worden aangepast wat aanleiding kan zijn tot het aanpassen van de standaard.
  • Opstellen van sectorstandaarden. Te denken valt aan een addendum op de IDRS voor de financiële sector (om te rapporteren over DORA), de kritische infrastructuur (om te rapporteren over NIS2) of de lokale overheid waarbij huidige verantwoordingen kunnen vervallen ten gunste van één rapportage op basis van de IDRS.
  • Het geven van gevraagd en ongevraagd advies.

Een groep van deskundigen zorgt vervolgens voor het aanpassen van de IDRS indien dat nodig is.

De Initiatiefnemers van het IDRS platform zijn ArcadisCZ groepRabobank, De Nederlandsche BankECP | Platform voor de InformatieSamenlevingInstituut van Internal Auditorshet ministerie van Economische Zakenhet ministerie van Financiën/Auditdienst RijkNOREARijksinspectie Digitale InfrastructuurTIAS en de Vrije Universiteit Amsterdam. Het IDRS platform is gehuisvest bij ECP.

Betrokken ECP'ers

bg_image

Maaike Bank

bg_image

Pooja Storm

bg_image

Lisanne van Helten

bg_image

Daniël Frijters