Ruim vijftien procent van de Nederlandse pensioenfondsen en verzekeraars heeft aangegeven in het afgelopen jaar te maken te hebben gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken. Tevens heeft ruim vijf procent van de instellingen in die periode te maken gehad met een geslaagde cyberaanval (ongeautoriseerde toegang). Niet alleen het aantal cyberaanvallen neemt toe, ook de ontwrichtende impact van aanvallen wordt steeds groter. Daarom deelt toezichthouder De Nederlandsche Bank (DNB) voorbeelden voor de beheersing van deze risico’s in Q&A’s en Good Practices. DNB voert ook sectorbrede en individuele onderzoeken uit bij instellingen en zij werkt op onderdelen samen met de financiële sector om de weerbaarheid van instellingen verder te versterken. In de IB-monitor 2021 van DNB treft u hun waarnemingen aan op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
DNB heeft de waarnemingen gebaseerd op onderzoek bij pensioenfondsen en verzekeraars, maar de uitkomsten zijn ook relevant voor instellingen uit andere sectoren. Daarnaast zijn een dreigingsanalyse en een vooruitblik op geplande toezichtactiviteiten in 2022 opgenomen.
De belangrijkste waarnemingen uit de onderzoeken zijn:
De risicomanagementcyclus binnen instellingen gericht op informatiebeveiliging is onvoldoende effectief.
Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal.
De weerbaarheid tegen cyberaanvallen moet worden versterkt, hier is dringend aandacht nodig.
De toezichthouder ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. Daarnaast vraagt DNB aandacht voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen.
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven het belang voor een goed fundament op het gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsmede de noodzaak tot samenwerking met partijen, aldus DNB.
In alle activiteiten van financiële instellingen speelt technologie een belangrijke rol. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberdreigingen is het voor de instellingen van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen. Beheersmaatregelen hierin zijn niet statisch. Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van beleidsbeslissingen.
