| Summary: | The aim of the study was to examine the prevalence and evolution of cyber risks and threats as reported in the annual reports of Finnish publicly listed companies and to identify recurring themes in the descriptions of cyber risks. Companies play a central role in the Finnish comprehensive security model, which includes cybersecurity. The responsibility for implementing and overseeing a company's risk management ultimately lies with its board of directors. However, there has been limited research in Finland on the involvement of company boards in managing cybersecurity. This study aimed to assess the extent to which cyber risks and threats are regarded as significant risks and as uncertainties by publicly listed companies.
This longitudinal study focused on companies listed on the main list of the Nasdaq Helsinki stock exchange from 2019 to 2023. The data consisted of annual reports containing the board directors’ report, as published by these companies. The research method employed was data-driven content analysis, incorporating both quantitative and qualitative techniques.
The results of this study indicated that between 2019 and 2023, the frequency of mentions of cyber risks and threats in annual reports increased. Additionally, the descriptions of these risks evolved from general statements to more detailed and company-specific narratives. Despite this trend, a substantial portion of companies continued to report their cyber risks in a general manner, which provides limited value to stakeholders. The results of this study suggested that cyber risk is not perceived as a strategic risk but rather as an operational risk.
Tutkimuksen tavoitteena oli tuottaa tietoa kyberriskien ja -uhkien esiintyvyydestä ja niiden kehityksestä suomalaisten pörssilistattujen yhtiöiden hallitusten toimintakertomuksissa sekä tunnistaa kyberriskikuvauksissa esiintyvä teemoja. Yrityksillä on keskeinen rooli suomalaisessa kokonaisturvallisuuden mallissa, jonka yksi osa-alue on kyberturvallisuus. Yrityksen hallituksella on viimesijainen vastuu yrityksen riskienhallinnan toteuttamisesta ja valvonnasta. Suomessa on tehty vähän tutkimusta yritysten hallitusten roolista kyberturvallisuuden johtamisessa ja tämä tutkimus selvitti missä määrin kyberriskit ja -uhkat koetaan merkittävinä riskeinä ja epävarmuustekijöinä pörssilistatuissa yhtiöissä.
Tutkimus oli pitkittäistutkimus, jonka perusjoukkona oli arvopaperipörssi Nasdaq Helsingin päälistalla noteeratut yhtiöt vuosina 2019–2023. Aineistona käytettiin yhtiöiden julkaisemia hallituksen toimintakertomuksen si-sältäviä vuosiraportteja. Tutkimusmenetelmänä oli aineistolähtöinen sisällönanalyysi, joka toteutettiin sekä määrällisin että laadullisin tekniikoin.
Tuloksena tutkimuksessa esitettiin, että vuosina 2019–2023 kyberriskien ja -uhkien esiintymistiheys pörssilistattujen hallitusten toimintakertomuksissa kasvaa ja riskikuvaukset muuttuvat luonteeltaan yleisistä yksityis- ja yrityskohtaisemmiksi. Merkittävä osa yhtiöistä raportoi kuitenkin edelleen kyberriskeistään yleisellä tasolla, jonka lisäarvo raportoinnin sidosryhmille jää matalaksi. Tutkimuksen perusteella kyberriskiä ei koeta strategisena riskinä, vaan se nähdään operatiivisena riskinä.
|
|---|