DNB doet jaarlijks onderzoek bij financiële instellingen naar hun inherente risico’s en de beheersmaatregelen die zijn getroffen voor die risico’s. De vragenlijst informatiebeveiliging, genoemd SBA-IB, inclusief de self-assessment volwassenheidsniveaus is onderdeel van deze sector brede uitvraag.

DNB heeft de terugkoppeling op de uitvraag van 2021 geanalyseerd en heeft verschillende pensioenfondsen die niet voldeden aan de vereiste volwassenheidsniveaus recent een brief gestuurd met het verzoek om actie te ondernemen. Medio 2023 dienen de fondsen aantoonbaar te voldoen aan de vereiste volwassenheidsniveaus. De pensioenfondsen dienen de beheersmaatregelen per eind 2022 geïmplementeerd te hebben, zodat de beheersmaatregelen gedurende de eerste helft van 2023 aantoonbaar uitgevoerd kunnen worden.

DNB verwacht hierbij dat ook een internal audit functie, dan wel een externe partij valideert dat volwassenheidsscores in de self-assessment in voldoende mate zijn onderbouwd. Naar onze mening dienen ook fondsen die de bewuste brief niet hebben ontvangen nogmaals kritisch naar de ingevulde self-assessment te kijken, hierbij is het ook verstandig om deze scores te laten beoordelen door dan wel de internal audit functie, dan wel een externe partij. In dit artikel gaan wij nader in op de bevindingen van DNB en de mogelijke opvolging. Het is hierbij belangrijk om dit punt tijdig op te pakken.

Terugkoppeling sector brede uitvraag niet financiële risico’s

Als onderdeel van de jaarlijkse sector brede uitvraag van DNB naar niet-financiële risico’s hebben pensioenfondsen een self-assessment ingevuld over informatiebeveiliging. Hierbij hebben de fondsen zichzelf gescoord op de volwassenheid (van een selectie) van de 58 DNB Controls die ook beschreven zijn in de Good Practice Informatiebeveiliging. DNB heeft via de Informatie Beveiliging Monitor 2021 al een algemene terugkoppeling gegeven naar aanleiding van de self-assessment van fondsen. De belangrijkste waarnemingen van DNB waren:

  • De risicomanagementcyclus gericht op informatiebeveiliging is onvoldoende effectief
  • Het beheersen van informatiebeveiliging in de keten is cruciaal
  • De weerbaarheid tegen cyberaanvallen moet worden versterkt.

DNB heeft hierbij ook aangegeven in 2022 extra aandacht te hebben voor risicobeheersing in de gehele keten van uitbesteding, de impact van nieuwe wet- en regelgeving zoals bijvoorbeeld DORA (Digital Operational Resilience Act) en voor het kennisniveau van bestuurders en (interne) toezichthouders.

DNB brief: begin tijdig met nulmeting en opstellen plan van aanpak

Naast de algemene terugkoppeling heeft DNB nu ook verschillende fondsen separaat een brief gestuurd met de verwachting dat fondsen per 30 juni 2023 de volwassenheid van de beheersmaatregelen aantoonbaar ophogen naar de vereiste niveaus.

Per 31 juli 2023 dienen fondsen dit ook via een self-assessment aan te tonen. Hierbij verwacht DNB dat het bestuur bevestigt dat de scores naar waarheid zijn ingevuld en wenst DNB een onafhankelijke bevestiging te ontvangen vanuit dan wel een internal audit of een externe partij die hebben gecontroleerd dat deze self-assessment ook onderbouwd wordt met voldoende documentatie. Om de effectieve werking van de beheersmaatregelen aan te kunnen tonen is het belangrijk dat de beheersmaatregelen tijdig geïmplementeerd zijn, zodat bestaan en werking over de eerste helft van 2023 aangetoond kan worden.

Met deze reden is het belangrijk om ook tijdig te beginnen met het opstellen van een plan van aanpak. De eerste stap hierbij is om te beginnen met een goede nulmeting, zodat tijdig de juiste acties gedefinieerd kunnen worden. Hierbij dient het fonds ervoor te zorgen dat het voldoende zicht heeft op de complexiteit van het IT-landschap, dient het fonds een passende scope van beheersmaatregelen te definiëren en dient het fonds te borgen dat de beheersmaatregelen aantoonbaar en effectief uitgevoerd worden.

DNB brief ook relevant voor fondsen die hem niet hebben ontvangen

In de praktijk merken wij dat verschillende fondsen het lastig vonden om de self-assessment informatiebeveiliging in te vullen. Wij vermoeden dan ook dat er fondsen zullen zijn die zichzelf mogelijk iets te optimistisch hebben gescored. Ook voor deze fondsen is het naar onze mening belangrijk om te evalueren of het fonds de scoring voldoende en aantoonbaar kan onderbouwen. Voor alle fondsen geldt dat zij eind april als onderdeel van de sector brede uitvraag opnieuw hun volwassenheidsniveaus dienen vast te stellen.

Wij helpen u graag

Wij helpen fondsen graag met het uitvoeren van een nulmeting en bij het opstellen van een plan van aanpak om waar nodig de volwassenheid rondom het IT-risk management te verbeteren.

Gerelateerde insights

X