Uutiset

Yritykset raportoivat kyberturvallisuudesta enemmän, mutta markkinat eivät reagoi

Julkaistu:
Yhdysvaltalaiset yritykset raportoivat kyberturvallisuudestaan entistä tarkemmin, mutta osakemarkkinoilla reaktiot jäävät vaisuiksi. Vaasan yliopiston ja Aalto-yliopiston uusi tutkimus osoittaa, että pakollinen kyberraportointi ei innosta sijoittajia tai osakeanalyytikkoja. Sen sijaan suurin hyöty näyttää syntyvän yritysten sisällä.
Yritykset raportoivat kyberturvallisuudesta
Kuvitus: Aalto-yliopisto / Matti Ahlgren

Pakollinen kyberturvallisuusraportointi on lisännyt yritysten dokumentointia ja tehnyt kyberriskeistä näkyvämpiä johdolle, mutta se ei ole ainakaan toistaiseksi vaikuttanut sijoittajien tai osakeanalyytikoiden käyttäytymiseen. Näin arvioi uusi suomalaistutkimus, joka tarkastelee Yhdysvaltojen uuden kyberturvallisuussääntelyn ensivaikutuksia. Tulokset ovat ajankohtaisia myös Euroopassa, jossa NIS2-direktiivi nostaa kyberturvallisuuden entistä vahvemmin yritysjohdon vastuulle.

Vaasan yliopiston apulaisprofessori Elina Haapamäki ja Aalto-yliopiston professori Jukka Sihvonen tarkastelevat tutkimuksessaan, miten yhdysvaltalaiset pörssiyhtiöt reagoivat vuonna 2023 voimaan tulleeseen raportointivelvollisuuteen. Yhdysvaltojen arvopaperimarkkinavalvoja SEC edellyttää yhtiöitä raportoimaan vuosikertomuksissaan aiempaa tarkemmin kyberturvallisuuden hallinnasta, riskeistä ja vastuista. Tutkimus kattaa 3 440 yhdysvaltalaisen pörssiyhtiön vuoden 2024 vuosikertomukset, joissa uutta raportointikohtaa, niin sanottua Item 1C:tä, sovellettiin ensimmäisen kerran täysimääräisesti.

Markkinat pysyivät yllättävän välinpitämättöminä

Tutkimuksen mukaan yritykset eivät tyytyneet siirtämään vanhoja kyberturvallisuutta koskevia riskitekstejä uuteen raportointikohtaan, vaan tuottivat aidosti uutta sisältöä.

– Kyse ei ollut kosmeettisesta muutoksesta. Yritykset joutuivat kuvaamaan kyberturvallisuuden hallintoa ja vastuita aiempaa järjestelmällisemmin, Haapamäki kertoo.

Raportoinnin laatu ja laajuus vaihtelivat silti huomattavasti yritysten välillä. Vaihtelua selittivät vain osittain esimerkiksi yrityksen koko, taloudellinen menestys tai tilintarkastajan profiili.

– Erityisen mielenkiintoista on, ettei raportointiin vaikuttanut myöskään se, oliko yritys aiemmin joutunut kyberhyökkäyksen kohteeksi tai kuinka digitalisoitunutta sen liiketoiminta on. Tämä viittaa siihen, että yrityksille jää paljon harkintavaltaa siinä, mitä ne raportoivat, Sihvonen sanoo.

Siitä huolimatta, että yritykset raportoivat kyberturvallisuudestaan aiempaa laajemmin, markkinoiden reaktiot jäivät vähäisiksi. Tutkimuksen mukaan osakekurssit eivät muuttuneet, osakeanalyytikot eivät lisänneet kyberaiheista keskustelua eikä sijoittajien kiinnostus vuosikertomuksiin kasvanut.

– Tämä on ristiriidassa sen arkihavaintoihin perustuvan tosiasian kanssa, että vakavat kyberhyökkäykset voivat pysäyttää liiketoiminnan, vuotaa asiakastietoja ja aiheuttaa mittavia taloudellisia vahinkoja, Haapamäki toteaa.

Sihvosen mukaan tulos viittaa siihen, etteivät sijoittajat hyödynnä hallintoa koskevaa kyberturvallisuustietoa osana yritysten arvonmääritystä.

Raportointivelvoitteen suurin hyöty jää yrityksille

Tutkimukseen haastateltujen kyberturvallisuuden ja yritysvastuun asiantuntijoiden mukaan raportointivelvoitteen keskeisin vaikutus ei ensivaikutelmien perusteella näy markkinoilla vaan yritysten omassa toiminnassa. Velvoite pakottaa yritykset dokumentoimaan kyberturvallisuuteen liittyvät vastuut, prosessit ja päätöksenteon aiempaa järjestelmällisemmin.

Tulokset ovat ajankohtaisia myös Euroopassa, jossa NIS2-direktiivi kiristää yritysten kyberturvallisuusvaatimuksia. Toisin kuin Yhdysvalloissa, EU-sääntely painottaa ensisijaisesti sisäistä dokumentaatiota eikä sijoittajille suunnattua julkista raportointia.

– Yhdysvalloissa kyberturvallisuudesta viestitään yritysten sidosryhmille osin eri tavalla kuin Euroopassa. EU:ssa painopiste on täsmällisissä riskienhallinnan velvoitteissa, ja raportointi koskee ennen kaikkea kyberturvallisuuspoikkeamien ilmoittamista viranomaisille ja asiakkaille, sanoo Kyberala ry:n toimitusjohtaja Peter Sund.

– EU:ssa sijoittajien näkökulmasta keskeistä on se, että yrityksen johto ja hallitus ottavat vastuun kyberturvallisuuden riskienhallinnasta ja sen valvonnasta, Sund jatkaa.

Vertaisarvioitu tutkimus on julkaistu kansainvälisessä International Journal of Accounting Information Systems -tiedelehdessä. 

Lue koko tutkimus: Mandatory cybersecurity disclosure: Early evidence from 10-K reports

Lisätietoa

Jukka Sihvonen

Jukka Sihvonen

Assistant Professor
jukka.sihvonen@aalto.fi
  • Päivitetty:
  • Julkaistu:
Jaa
URL kopioitu

Lue lisää uutisia

Sotilaita maastopuvuissa metsässä, edessä naissotilaan kasvot
Palkinnot ja tunnustukset, Tutkimus ja taide Julkaistu:

Yasmin Najjarin lyhytelokuva TJ28 on valittu Cannesin La Cinef -sarjaan

Aalto-yliopistolla on toista vuotta perättäin lyhytelokuva Cannesin opiskelijaelokuvasarjassa.
Tutkimus ja taide Julkaistu:

Tutkimusportaalin PDF-tiedostot eivät avaudu

ACRIS-tutkimustietojärjestelmän tutkimusportaalin (research.aalto.fi) PDF-tiedostot eivät tällä hetkellä lataudu. Vikaa tutkitaan parhaillaan.
A dog and two researchers. Photo: Aalto University/Mikko Raskinen
Tutkimus ja taide Julkaistu:

Avustajakoira tulkitsee sanattomasti hoivaamansa ihmisen tarpeita

Tuore tutkimus osoittaa, että avustajakoirat eivät vain auta ihmisiä käytännön tehtävissä, vaan osallistuvat aktiivisesti hoivaan.
Vasemmalta: professori Stefan Weinzierl (Berliinin teknillinen yliopisto), professori Johannes M. Arend (Aalto-yliopisto) ja professori Christoph Pörschmann (Kölnin ammattikorkeakoulu) Lothar-Cremer-palkinnonjakotilaisuuden jälkeen DAGA 2026 -tapahtumassa Dresdenissä Saksassa.
Palkinnot ja tunnustukset, Tutkimus ja taide Julkaistu:

Professori Johannes M. Arend Aallon akustiikan laboratoriosta sai Lothar-Cremer-palkinnon

Professori Johannes M. Arend palkittiin innovatiivisesta ja uraauurtavasta työstään binauraalisen teknologian ja virtuaaliakustiikan aloilla.