| Yhteenveto: | This study focuses on cybersecurity disclosure of publicly listed banks in EU countries as part of their annual reporting. Due to the transparency of their op-erations, listed entities are expected to communicate with their stakeholders about risks related to their activities and the associated risk management as part of their annual reports and annexes. Accordingly, companies also report on cybersecurity within these frameworks as part of their annual reports, but they must exercise discretion regarding the scope and depth of reporting due to the sensitive nature of the information.
Cybersecurity disclosure is examined in the context of EU countries and banks because the financial sector, particularly banks, plays a significant role in the economy, societal stability, and security. At the same time, European pub-licly listed banks face considerable new regulations and attention related to cybersecurity. Cybersecurity risks have also emerged as the top concern for banks in Europe.
The purpose of this study was to address the question, "How do EU banks report on their cybersecurity in their annual reports?" The study was conducted using qualitative methods, analyzing the 2023 annual reports of the largest European banks through theory-driven content analysis. The results of the study revealed significant differences in the extent of cybersecurity disclo-sure among the largest listed banks in EU countries. However, a common fea-ture of the banks that provided the most comprehensive reporting was their avoidance of personal disclosures, while still reflecting annual-specific consid-erations in their reporting. Banks primarily addressed cybersecurity risks, ac-tions aimed at mitigating those risks, and administrative measures. On the oth-er hand, they refrained from disclosing the consequences of specific cybersecu-rity incidents they had experienced.
Tämä tutkimus keskittyy EU-maiden listattujen pankkien kyberturvallisuusraportointiin osana vuosittaista raportointia. Listattujen toimijoiden odotetaan raportoivan jo toimintansa läpinäkyvyyden vuoksi viestivän sidosryhmilleen muun muassa toimintaansa koskevista riskeistä sekä niitä koskevista riskienhallinnasta osana vuosikertomuksia ja sen liitteitä. Yritykset raportoivatkin myös kyberturvallisuudesta edeltä mainituin osin osana vuosikertomuksia, mutta toimijat joutuvat samalla käyttämään harkintaa raportoinnin laajuuden ja syvyyden suhteen tiedon luonteesta johtuen.
Kyberturvallisuusraportointia tutkitaan EU-maiden ja pankkien kontekstissa, koska finanssialan ja etenkin pankkien merkitys taloudelle, yhteiskunnan vakaudelle ja siten myös turvallisuudelle on suuri. Samaan aikaan eurooppalaisiin listattuihin pankkeihin kohdistuu merkittävissä määrin myös kyberturvallisuutta koskevaa uutta sääntelyä ja huomiota. Kyberturvallisuutta koskevat riskit ovat nousseet myös pankkien suurimmaksi huolenaiheeksi Euroopassa.
Tutkimuksen tarkoituksena oli selvittää ”Miten EU-pankit raportoivat kyberturvallisuudestaan vuosikertomuksissaan?”. Tutkimus toteutettiin laadullisin menetelmin suurimpien eurooppalaisten pankkien vuotta 2023 käsitteleviä vuosikertomuksia teorialähtöisen sisällönanalyysin menetelmin tutkimalla. Tutkimuksen tuloksena havaittiin, että EU-maiden suurimpien listattujen pankkien välillä on merkittäviä eroja kyberturvallisuusraportoinnin laajuudessa, mutta yhteistä aiheesta laajimmin raportoiville on, että ne pidättäytyvät omakohtaisesta raportoinnista huomioiden kuitenkin raportoinnissa vuosikohtaisuuden. Pankit käsittelivät eniten kyberturvallisuusriskejä ja niiden pienentämiseen tähtääviä tekoja sekä hallinnollisia toimia. Toisaalta yritykset pidättäytyivät avaamasta heihin jo kohdistuneiden kyberturvallisuushäiriöiden seurauksia.
|
|---|