Yritykset raportoivat kyberturvallisuudesta enemmän, mutta markkinat eivät reagoi

Pakollinen kyberturvallisuusraportointi on lisännyt yritysten dokumentointia ja tehnyt kyberriskeistä näkyvämpiä johdolle, mutta se ei ole ainakaan toistaiseksi vaikuttanut sijoittajien tai osakeanalyytikoiden käyttäytymiseen. Näin arvioi uusi suomalaistutkimus, joka tarkastelee Yhdysvaltojen uuden kyberturvallisuussääntelyn ensivaikutuksia. Tulokset ovat ajankohtaisia myös Euroopassa, jossa NIS2-direktiivi nostaa kyberturvallisuuden entistä vahvemmin yritysjohdon vastuulle.

Vaasan yliopiston apulaisprofessori Elina Haapamäki ja Aalto-yliopiston professori Jukka Sihvonen tarkastelevat tutkimuksessaan, miten yhdysvaltalaiset pörssiyhtiöt reagoivat vuonna 2023 voimaan tulleeseen raportointivelvollisuuteen. Yhdysvaltojen arvopaperimarkkinavalvoja SEC edellyttää yhtiöitä raportoimaan vuosikertomuksissaan aiempaa tarkemmin kyberturvallisuuden hallinnasta, riskeistä ja vastuista. Tutkimus kattaa 3 440 yhdysvaltalaisen pörssiyhtiön vuoden 2024 vuosikertomukset, joissa uutta raportointikohtaa, niin sanottua Item 1C:tä, sovellettiin ensimmäisen kerran täysimääräisesti.

Markkinat pysyivät yllättävän välinpitämättöminä

Tutkimuksen mukaan yritykset eivät tyytyneet siirtämään vanhoja kyberturvallisuutta koskevia riskitekstejä uuteen raportointikohtaan, vaan tuottivat aidosti uutta sisältöä.

– Kyse ei ollut kosmeettisesta muutoksesta. Yritykset joutuivat kuvaamaan kyberturvallisuuden hallintoa ja vastuita aiempaa järjestelmällisemmin, Haapamäki kertoo.

Raportoinnin laatu ja laajuus vaihtelivat silti huomattavasti yritysten välillä. Vaihtelua selittivät vain osittain esimerkiksi yrityksen koko, taloudellinen menestys tai tilintarkastajan profiili.

– Erityisen mielenkiintoista on, ettei raportointiin vaikuttanut myöskään se, oliko yritys aiemmin joutunut kyberhyökkäyksen kohteeksi tai kuinka digitalisoitunutta sen liiketoiminta on. Tämä viittaa siihen, että yrityksille jää paljon harkintavaltaa siinä, mitä ne raportoivat, Sihvonen sanoo.

Siitä huolimatta, että yritykset raportoivat kyberturvallisuudestaan aiempaa laajemmin, markkinoiden reaktiot jäivät vähäisiksi. Tutkimuksen mukaan osakekurssit eivät muuttuneet, osakeanalyytikot eivät lisänneet kyberaiheista keskustelua eikä sijoittajien kiinnostus vuosikertomuksiin kasvanut.

– Tämä on ristiriidassa sen arkihavaintoihin perustuvan tosiasian kanssa, että vakavat kyberhyökkäykset voivat pysäyttää liiketoiminnan, vuotaa asiakastietoja ja aiheuttaa mittavia taloudellisia vahinkoja, Haapamäki toteaa.

Sihvosen mukaan tulos viittaa siihen, etteivät sijoittajat hyödynnä hallintoa koskevaa kyberturvallisuustietoa osana yritysten arvonmääritystä.

Raportointivelvoitteen suurin hyöty jää yrityksille

Tutkimukseen haastateltujen kyberturvallisuuden ja yritysvastuun asiantuntijoiden mukaan raportointivelvoitteen keskeisin vaikutus ei ensivaikutelmien perusteella näy markkinoilla vaan yritysten omassa toiminnassa. Velvoite pakottaa yritykset dokumentoimaan kyberturvallisuuteen liittyvät vastuut, prosessit ja päätöksenteon aiempaa järjestelmällisemmin.

Tulokset ovat ajankohtaisia myös Euroopassa, jossa NIS2-direktiivi kiristää yritysten kyberturvallisuusvaatimuksia. Toisin kuin Yhdysvalloissa, EU-sääntely painottaa ensisijaisesti sisäistä dokumentaatiota eikä sijoittajille suunnattua julkista raportointia.

– Yhdysvalloissa kyberturvallisuudesta viestitään yritysten sidosryhmille osin eri tavalla kuin Euroopassa. EU:ssa painopiste on täsmällisissä riskienhallinnan velvoitteissa, ja raportointi koskee ennen kaikkea kyberturvallisuuspoikkeamien ilmoittamista viranomaisille ja asiakkaille, sanoo Kyberala ry:n toimitusjohtaja Peter Sund.

– EU:ssa sijoittajien näkökulmasta keskeistä on se, että yrityksen johto ja hallitus ottavat vastuun kyberturvallisuuden riskienhallinnasta ja sen valvonnasta, Sund jatkaa.

Vertaisarvioitu tutkimus on julkaistu kansainvälisessä International Journal of Accounting Information Systems -tiedelehdessä. 

Lue koko tutkimus: Mandatory cybersecurity disclosure: Early evidence from 10-K reports