Spring naar content

Marc Welters, NOREA: “Met IDRS krijgt de IT-beheersing eindelijk een structureel kader”

Nederland is een van de meest gedigitaliseerde landen ter wereld – en daarmee ook extra kwetsbaar. Juist daarom is er behoefte aan een helder kader om grip te houden op IT. Redacteur Jan Meijroos sprak met Marc Welters, partner bij EY en voorzitter van beroepsorganisatie NOREA, over de nieuwe International Digital Reporting Standards (IDRS). Deze standaard bundelt zes kernonderwerpen in één rapportagestandaard en biedt bestuurders, toezichthouders én bedrijven het houvast dat nodig is. Nu Europese regels als NIS2 en DORA hun volle impact krijgen en het NIS2 keurmerk beschikbaar is, wordt duidelijk: digitale weerbaarheid is niet langer een keuze, maar een voorwaarde voor vertrouwen.

Welters is dagelijks bezig met de vraag hoe organisaties grip kunnen houden op hun IT. Hij combineert zijn werk als auditor met een rol in het onderwijs – hij geeft colleges IT-audit aan de Erasmus School of Accounting & Assurance in Rotterdam, aan de VU in Amsterdam en verzorgt een module in de commissarissenopleiding van de Universiteit Maastricht.

Maar zijn voorzitterschap bij NOREA staat centraal in het gesprek. Deze organisatie telt inmiddels zo’n tweeduizend leden en bestaat sinds 1992, toen accountants beseften dat IT en data een steeds belangrijker rol gingen spelen en besloten een aparte beroepsorganisatie voor register IT-auditors op te richten. “Wij zijn geen consultants die implementaties doen, maar we kijken vanuit ons vakgebied wel naar de beheersing van IT,” zegt Welters.

Assurance en de rol van de IT-auditor

De kern van het werk van een IT-auditor ligt in assurance: het verstrekken van zekerheid. Waar accountants bij wet verantwoordelijk zijn voor de jaarrekeningcontrole, geven IT-auditors verklaringen af over de beheersing van IT-omgevingen, bijvoorbeeld bij dienstverleners als KPN, Atos of Microsoft. “In dat rapport staat heel simpel: kijk eens, dit is wat wij voor onze klanten doen, en dit doen we op deze manier. En dan zeggen wij als IT-auditor: dat doen ze op de goede manier, een heel jaar lang.”

NOREA speelt daarnaast een belangrijke rol in de vertaling van internationale richtlijnen van IFAC, de mondiale koepel van accountantsorganisaties, naar de Nederlandse IT-auditpraktijk. Ook bewaakt de vereniging de kwaliteit van het beroep door opleidingseisen en permanente educatie te waarborgen.

Nederland digitaal kwetsbaar

Welters schetst dat Nederland, als een van de meest gedigitaliseerde landen ter wereld, sterk afhankelijk is van goed functionerende IT. Hij verwijst naar een sprekend voorbeeld: de hack bij een kaasleverancier van Albert Heijn, waardoor drie weken lang geen kaas in de schappen lag. “Tien jaar geleden had niemand kunnen bedenken dat een ‘kaasboer’ zo vol met automatisering zou zitten dat een hack direct de bevoorrading van een supermarktketen lamlegt.”

Volgens Welters kijken organisaties nog te vaak eenzijdig naar cybersecurity, terwijl outsourcing en IT-continuïteit minstens zo belangrijk zijn. De oorzaken van hacks zijn vaak eenvoudig: zwakke toegangsbeveiliging – “het wachtwoord bij de gemeente Hof van Twente was gewoon ‘Welkom2020’” – en slecht patchmanagement, waarbij updates te laat worden doorgevoerd.

Op 3 juni jl. heeft de Kamer motie Kathmann aanvaard waardoor de regering momenteel onderzoekt hoe de IDRS bijdraagt tot een weerbaarder Nederland en hoe de standaard bijdraagt tot minder administratieve lasten bij de overheid en grote ondernemingen.

Van NRI naar IDRS

Om al die facetten in samenhang te adresseren, begon NOREA in 2020 met het ontwikkelen van een rapportagestandaard: het NOREA Reporting Initiative (NRI). Inmiddels is dat initiatief doorontwikkeld en overgedragen aan het platform ECP, dat samen met elf partners –de VU, TIAS, de ministeries van EZK en BZK, toezichthouders als DNB en de RDI, corporates CZ en Arcadis, en de Auditdienst Rijk, IIA en NOREA – de standaard beheert. De naam is veranderd in IDRS: International Digital Reporting Standards.
Welters legt uit waarom: “NOREA heeft de standaard wel gemaakt, maar we gaan hem niet onderhouden. Dus die naam NOREA moet eruit. ECP en de deelnemende partijen zorgen nu voor het onderhoud en de doorontwikkeling.”

Zes onderwerpen als fundament

De IDRS beslaat zes hoofdthema’s die de kern vormen van IT-beheersing:

  • Cybersecurity
  • IT-continuity Management
  • Innovation and Transformation
  • Third Party Management
  • Data and AI
  • Privacy

Voor elk van deze onderwerpen zijn concrete requirements opgesteld. De rapportagestandaard is daarmee breed en holistisch: geen vervanging van bestaande normen, maar een raamwerk dat elementen uit ISO 27001, ISO 22301, COBIT, de BIO en NEN 7510 samenbrengt. “Het is geen normenkader. Het is echt een rapportagestandaard,” benadrukt Welters.

Aansluiting op NIS2 en DORA

De relevantie van de IDRS neemt toe nu de Europese wetgeving strenger wordt. De standaard dekt ongeveer 80% van de vereisten van zowel de NIS2-richtlijn als de DORA-verordening voor de financiële sector. In NIS2, en specifiek in artikel 20, staat dat bestuurders én toezichthouders aansprakelijk kunnen worden gesteld als de IT-beheersing onvoldoende is. Voor commissarissen is de IDRS daarom een praktisch handvat om toezicht te houden. “Als je nou al begint om intern te rapporteren naar de Raad van Bestuur en de Raad van Commissarissen, langs die zes onderwerpen, dan heb je in ieder geval een goede basis.”

Organisaties als CZ en Arcadis hebben de IDRS al toegepast in pilots. Arcadis liet hun rapportage bovendien toetsen door een IT-auditor, die er een conceptverklaring bij afgaf. Dit toont volgens Welters aan dat de standaard in de praktijk goed bruikbaar is.

Ook waardevol voor het mkb

Hoewel de IDRS vooral gericht lijkt op grotere organisaties, ziet Welters ook kansen voor kleinere bedrijven. Banken en financiers zouden rapportages kunnen gebruiken bij kredietbeoordelingen. “Stel, je hebt twee identieke bedrijven. De een heeft een verslag met verklaring, de ander niet. Dan krijg je dus betere voorwaarden bij de bank als je wel een verslag hebt.” Voor kleinere organisaties is de standaard bovendien schaalbaar: naast verplichte onderdelen bevat hij ook “nice to have”-eisen die je desgewenst kunt overslaan.

Outsourcing en ketenverantwoordelijkheid

Een belangrijk aandachtspunt is de rol van toeleveranciers en ketenpartners. Outsourcing (Third Party Management) is daarom nadrukkelijk een van de zes thema’s. De standaard helpt zichtbaar te maken waar afspraken mislopen, bijvoorbeeld bij service level agreements die niet aansluiten op de werkelijke bedrijfsbehoefte. “Dan heb je bedacht dat een applicatie maximaal twee dagen uit de lucht mag zijn, terwijl je contract zegt vijf dagen. Dan zit er dus een mismatch,” aldus Welters.

Hij wijst erop dat veel organisaties nauwelijks zicht hebben op de hele keten van onderaannemers en cloudproviders. DORA verplicht financiële instellingen inmiddels om een register bij te houden van al hun uitbestedingen. Ook de Algemene Rekenkamer constateerde dat de Rijksoverheid onvoldoende overzicht heeft van haar cloudcontracten. Voor Welters is dat precies waar de IDRS waarde toevoegt: het brengt structuur in een ondoorzichtige praktijk.

Naar een NIS2 Quality Mark

De volgende stap is de koppeling met het NIS2 Quality Mark, een keurmerk dat mkb-organisaties, vaak toeleveranciers van grote bedrijven, helpt om hun naleving van de richtlijn aan te tonen. De IDRS biedt hiervoor het fundament: een gestandaardiseerde manier van rapporteren over IT-beheersing. Daarmee wordt het mogelijk om audits uit te voeren en assuranceverklaringen af te geven die zowel intern als extern vertrouwen scheppen.

Welters vat het samen: “Onze rapportagestandaard is geen normenkader, maar een manier om in samenhang te laten zien hoe je IT beheerst. Voor bestuurders en toezichthouders biedt het houvast die ze nodig hebben. En voor bedrijven is het een manier om te laten zien: wij hebben het op orde.”

Gerelateerde artikelen

De naam NIS2 Quality Mark wordt gewijzigd naar NIS2 Supply Chain

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht