DNB doet jaarlijks onderzoek bij financiële instellingen naar hun inherente risico’s en de beheersmaatregelen die zijn getroffen voor die risico’s. De vragenlijst informatiebeveiliging, genoemd SBA-IB, inclusief de self-assessment volwassenheidsniveaus is onderdeel van deze sector brede uitvraag.
DNB heeft de terugkoppeling op de uitvraag van 2021 geanalyseerd en heeft verschillende pensioenfondsen die niet voldeden aan de vereiste volwassenheidsniveaus recent een brief gestuurd met het verzoek om actie te ondernemen. Medio 2023 dienen de fondsen aantoonbaar te voldoen aan de vereiste volwassenheidsniveaus. De pensioenfondsen dienen de beheersmaatregelen per eind 2022 geïmplementeerd te hebben, zodat de beheersmaatregelen gedurende de eerste helft van 2023 aantoonbaar uitgevoerd kunnen worden.
DNB verwacht hierbij dat ook een internal audit functie, dan wel een externe partij valideert dat volwassenheidsscores in de self-assessment in voldoende mate zijn onderbouwd. Naar onze mening dienen ook fondsen die de bewuste brief niet hebben ontvangen nogmaals kritisch naar de ingevulde self-assessment te kijken, hierbij is het ook verstandig om deze scores te laten beoordelen door dan wel de internal audit functie, dan wel een externe partij. In dit artikel gaan wij nader in op de bevindingen van DNB en de mogelijke opvolging. Het is hierbij belangrijk om dit punt tijdig op te pakken.
Terugkoppeling sector brede uitvraag niet financiële risico’s
Als onderdeel van de jaarlijkse sector brede uitvraag van DNB naar niet-financiële risico’s hebben pensioenfondsen een self-assessment ingevuld over informatiebeveiliging. Hierbij hebben de fondsen zichzelf gescoord op de volwassenheid (van een selectie) van de 58 DNB Controls die ook beschreven zijn in de Good Practice Informatiebeveiliging. DNB heeft via de Informatie Beveiliging Monitor 2021 al een algemene terugkoppeling gegeven naar aanleiding van de self-assessment van fondsen. De belangrijkste waarnemingen van DNB waren:
- De risicomanagementcyclus gericht op informatiebeveiliging is onvoldoende effectief
- Het beheersen van informatiebeveiliging in de keten is cruciaal
- De weerbaarheid tegen cyberaanvallen moet worden versterkt.
DNB heeft hierbij ook aangegeven in 2022 extra aandacht te hebben voor risicobeheersing in de gehele keten van uitbesteding, de impact van nieuwe wet- en regelgeving zoals bijvoorbeeld DORA (Digital Operational Resilience Act) en voor het kennisniveau van bestuurders en (interne) toezichthouders.
DNB brief: begin tijdig met nulmeting en opstellen plan van aanpak
Naast de algemene terugkoppeling heeft DNB nu ook verschillende fondsen separaat een brief gestuurd met de verwachting dat fondsen per 30 juni 2023 de volwassenheid van de beheersmaatregelen aantoonbaar ophogen naar de vereiste niveaus.
Per 31 juli 2023 dienen fondsen dit ook via een self-assessment aan te tonen. Hierbij verwacht DNB dat het bestuur bevestigt dat de scores naar waarheid zijn ingevuld en wenst DNB een onafhankelijke bevestiging te ontvangen vanuit dan wel een internal audit of een externe partij die hebben gecontroleerd dat deze self-assessment ook onderbouwd wordt met voldoende documentatie. Om de effectieve werking van de beheersmaatregelen aan te kunnen tonen is het belangrijk dat de beheersmaatregelen tijdig geïmplementeerd zijn, zodat bestaan en werking over de eerste helft van 2023 aangetoond kan worden.
Met deze reden is het belangrijk om ook tijdig te beginnen met het opstellen van een plan van aanpak. De eerste stap hierbij is om te beginnen met een goede nulmeting, zodat tijdig de juiste acties gedefinieerd kunnen worden. Hierbij dient het fonds ervoor te zorgen dat het voldoende zicht heeft op de complexiteit van het IT-landschap, dient het fonds een passende scope van beheersmaatregelen te definiëren en dient het fonds te borgen dat de beheersmaatregelen aantoonbaar en effectief uitgevoerd worden.
DNB brief ook relevant voor fondsen die hem niet hebben ontvangen
In de praktijk merken wij dat verschillende fondsen het lastig vonden om de self-assessment informatiebeveiliging in te vullen. Wij vermoeden dan ook dat er fondsen zullen zijn die zichzelf mogelijk iets te optimistisch hebben gescored. Ook voor deze fondsen is het naar onze mening belangrijk om te evalueren of het fonds de scoring voldoende en aantoonbaar kan onderbouwen. Voor alle fondsen geldt dat zij eind april als onderdeel van de sector brede uitvraag opnieuw hun volwassenheidsniveaus dienen vast te stellen.
Wij helpen u graag
Wij helpen fondsen graag met het uitvoeren van een nulmeting en bij het opstellen van een plan van aanpak om waar nodig de volwassenheid rondom het IT-risk management te verbeteren.
Contact
Jacob de Vries
Senior Business SpecialistGerelateerde insights
-
17 april 2024Spreidingsperiode bij toepassing standaardmethodePensioentransitieplannen worden in rap tempo gepubliceerd, met verschillende invaarkeuzes en spreidingsperiodes.
-
16 april 2024Haalbaarheidstoets-perikelen: De impact van nieuwe scenario’s op pensioenfondsen in transitieDe gevolgen van de vrijstelling voor de jaarlijkse haalbaarheidstoets en de impact van de nieuwe scenarioset van DNB brengen de nodige perikelen met zich mee.
-
11 april 2024Keuzebegeleiding deelnemers pensioenfondsen: het kan efficiënt en makkelijk!Sinds 1 juli 2023 vereist de nieuwe norm 'keuzebegeleiding' van de 'Wet toekomst pensioenen' dat pensioenfondsen meer inspanningen leveren om deelnemers te begeleiden. Dit brengt uitdagingen met zich mee voor fondsen, vooral in relatie tot het verbod op breder financieel advies.
-
25 maart 2024Transitie Wtp: Niet allemaal tegelijk aub!Nederland bereidt zich voor op de grootste pensioentransitie ooit. Dit leidt tot verschuivingen in beleggingsportefeuilles en mogelijke verstoringen in marktliquiditeit.
-
11 maart 2024Ga voor positieve insteek rond pensioenkeuzesKeuzebegeleiding is een hoofdpijndossier voor menig pensioenfonds en pensioenuitvoerder. Niet nodig, want de technologie is er en de tools zijn er. Het wiel is al uitgevonden.
-
29 februari 2024Keuze(begeleidings)stressIn de Wet toekomst pensioenen is vastgelegd dat pensioenuitvoerders verplicht zijn om hun deelnemers te begeleiden bij de keuzes binnen de pensioenregeling. Dit zien velen echter niet zitten.
-
19 februari 2024Klanttevredenheidsonderzoek 2023 laat weer uitstekende scores zienWe zijn verheugd dat onze klanten voor het zesde opeenvolgende jaar erg tevreden zijn met onze producten en diensten.
-
30 januari 2024Ortec Finance Webinar Reeks Nederlandse Pensioenfondsen in transitie
Ortec Finance organiseert een reeks webinars “Nederlandse pensioenfondsen in transitie” waarbij verschillende Wtp-gerelateerde onderwerpen aan bod komen.
-
30 januari 2024Alternatieve methode beschermingsrendement: Best of both worldsIn deze fase van de pensioentransitie komen veel implementatievraagstukken aan bod, waaronder de vormgeving van het beleggingsbeleid en de inrichting van het beschermingsrendement.