Cybersecurity risk disclosures and regulation. How has the new General Data Protection Regulation impacted the reporting practices of Finnish listed companies?

Koskela, Pauliina

Cybersecurity risk disclosures and regulation. How has the new General Data Protection Regulation impacted the reporting practices of Finnish listed companies?

School of Business | Master's thesis

Authors

Koskela, Pauliina

Date

2021

Department

Laskentatoimen laitos

Degree programme

Accounting

Language

en

Pages

86

Abstract

This study examines the indirect impacts of the EU’s new General Data Protection Regulation (GDPR) on public companies’ cybersecurity risk disclosure practices in the annual reports. The GDPR came into effect in 2018 and this study answers the question of how cybersecurity risk disclosures in the annual reports of Finnish listed companies have changed since the GDPR came into effect. This paper clarifies reporting legislation in Finland and offers theoretical explanations on why companies are motivated to disclose cybersecurity risks voluntarily. The data of the empirical part of this research was gathered from the OMXH25 companies’ annual reports of 2017 and 2019. A manual content analysis was conducted and a score system depicting the quality of the risk disclosures was formed by using a modified replication of the method of Domínguez and Gámez (2014). The aggregate findings including all sectors indicate that among the sample companies, the quality of cybersecurity risk disclosures improved after the GDPR came into effect, although the improvements were moderate. The improvements were mostly in the way companies disclose information about who or what groups are responsible for managing cybersecurity risks, and information about the methodology used to measure cybersecurity risk. Also, slight improvements were found in the ways companies disclose cybersecurity risk management policies, the amount of data breaches during the fiscal year, information about the improvements on cybersecurity compared to previous years, and information about cyber insurances. Before the GDPR, 9% of the sample companies did not share any information related to cybersecurity, whereas after the GDPR only 5% of the sample companies did not disclose any information related to cybersecurity. The industry-specific findings show that among the examined sectors, on average companies in telecommunications sector and utilities sector had the biggest increases in their overall cybersecurity risk disclosure quality since the GDPR came into effect. Small increases were seen in industrial sector, consumer goods & services sector, and oil & gas sector. On average, companies in basic materials sector and technology sector had no changes in the overall quality of cybersecurity risk disclosures. Only companies in healthcare and finance sectors had on average slight decreases in quality. Because the cybersecurity risk disclosure practices evolved differently in different sectors since the GDPR came into effect, it is concluded that the expectations of the society or institutions have not changed into demanding higher quality cybersecurity risk disclosures in the annual reports. However, each sector or each company may have their own powerful stakeholder(s) whose expectations on the quality of cybersecurity risk have evolved differently since the GDPR came into effect.

Tämä tutkimus tutkii EU:n uuden yleisen tietosuoja-asetuksen (GDPR:n) epäsuoria vaikutuksia julkisten yhtiöiden käytäntöihin raportoida kyberturvallisuusriskejä heidän vuosikertomuksissaan. GDPR tuli voimaan vuonna 2018, ja tämä tutkimus vastaa kysymykseen, kuinka suomalaisten listattujen yhtiöiden käytännöt raportoida kyberturvallisuusriskejä vuosikertomuksissa ovat muuttuneet GDPR:n voimaantulon jälkeen. Tämä työ selventää Suomen raportointilainsäädäntöä sekä selittää eri teorioiden avulla, miksi yritykset ovat motivoituneita kertomaan kyberturvallisuusriskeistä vapaaehtoisesti. Tämän tutkimuksen empiirisen osion data on kerätty OMXH25 yhtiöiden 2017 ja 2019 vuosikertomuksista. Kyberturvallisuusriskien raportoinnin laatua tutkittiin manuaalisella sisältöanalyysillä, ja laatua kuvaamaan muodostettiin pisteytysjärjestelmä, joka on muokattu versio Domínguezin ja Gámezin (2014) tutkimusmetodista. Kootut tulokset, joissa on mukana kaikki sektorit, osoittavat, että tutkimusyhtiöiden kyberturvallisuusraportoinnin laatu parantui GDPR:n voimaantulon jälkeen, vaikkakin parannukset olivat maltillisia. Eniten parannuksia oli nähtävissä yhtiöiden tavoissa kertoa siitä, ketkä tai mitkä ryhmät ovat vastuussa kyberturvallisuusriskien hallinnasta, sekä metodeista, joilla mitataan kyberturvallisuusriskejä. Myös pientä parannusta oli nähtävissä yhtiöiden tavoissa kertoa kyberturvallisuusriskien hallinnan politiikastansa, tilikauden aikana tapahtuneiden tietomurtojen määrästä, kyberturvallisuuteen liittyvistä parannuksista verrattuna aikaisempiin vuosiin, sekä kybervakuutuksista. Ennen GDPR:ää 9% tutkimusyhtiöistä eivät kertoneet mitään informaatiota liittyen kyberturvallisuuteen, mutta GDPR:n jälkeen vain 5% tutkimusyhtiöistä eivät kertoneet mitään kyberturvallisuusinformaatiota. Sektorikohtaiset tulokset osoittavat, että tutkittujen sektoreiden joukosta keskimäärin yhtiöt telekommunikaatio-sektorilla sekä yleishyödylliset palvelut -sektorilla paransivat eniten heidän kyberturvallisuusraportointiensa laatua GDPR:n voimaantulon jälkeen. Pientä parannusta oli nähtävissä teollisella sektorilla, kulutustavarat ja palvelut -sektorilla, sekä öljy ja kaasu -sektorilla. Keskimäärin perusmateriaalit-sektorilla ja teknologiasektorilla ei ollut muutoksia. Vain terveydenhuoltosektorin ja rahoitussektorin yhtiöillä oli keskimäärin pientä laskua laadussa. Koska kyberturvallisuusriskien raportointi on kehittynyt eri tavalla eri sektoreilla GDPR:n voimaantulon jälkeen, on pääteltävissä, etteivät yhteiskunnan tai instituutioiden odotukset ole muuttuneet vaatimaan korkealaatuisempaa kyberturvallisuusriskien raportointia vuosikertomuksissa. Sen sijaan jokaisella sektorilla tai jokaisella yhtiöllä voi olla heidän omat vahvat sidosryhmänsä, joiden odotukset kyberturvallisuusraportointia kohtaan ovat kehittyneet eri tavoilla GDPR:n voimaantulon jälkeen.

Thesis advisor

Niemi, Lasse

Keywords

risk reporting, voluntary risk disclosure, annual reporting, cybersecurity risks, information security risks, IT security risks, data security risks, ICT risks

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202107117993

Collections

[gradu] Kauppakorkeakoulu / BIZ

Show all metadata

Cybersecurity risk disclosures and regulation. How has the new General Data Protection Regulation impacted the reporting practices of Finnish listed companies?

URL

Journal Title

Journal ISSN

Volume Title

Authors

Date

Department

Major/Subject

Mcode

Degree programme

Language

Pages

Series

Abstract

Description

Thesis advisor

Keywords

Other note

Citation

Permanent link to this item

Collections