Resultaat jaarlijkse onderzoeken naar Cyber gepubliceerd in IB monitor 2021

Ruim 15% van de Nederlandse pensioenfondsen en verzekeraars heeft aangegeven in het afgelopen jaar te maken te hebben gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken. Tevens heeft ruim 5% van de instellingen in die periode te maken gehad met een geslaagde cyberaanval (ongeautoriseerd toegang). Niet alleen het aantal cyberaanvallen neemt toe, ook de ontwrichtende impact van aanvallen wordt steeds groter. Daarom deelt DNB voorbeelden voor de beheersing van deze risico’s in Q&A’s en Good Practices, voert DNB sectorbrede en individuele onderzoeken uit bij instellingen en werkt zij op onderdelen samen met de financiële sector om de weerbaarheid van instellingen verder te versterken.

In deze IB-monitor 2021 treft u onze waarnemingen aan op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector. Wij hebben de waarnemingen gebaseerd op onderzoek bij pensioenfondsen en verzekeraars, echter zijn deze uitkomsten ook breder relevant voor instellingen uit andere sectoren. Daarnaast zijn een dreigingsanalyse en een vooruitblik op geplande toezichtactiviteiten in 2022 opgenomen.

De belangrijkste waarnemingen uit onze onderzoeken zijn:

• De risicomanagementcyclus binnen instellingen gericht op informatiebeveiliging is onvoldoende effectief
• Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal
• De weerbaarheid tegen cyberaanvallen moet worden versterkt, hier is dringend aandacht nodig

We zien verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen.

Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven het belang voor een goed fundament op het gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsmede de noodzaak tot samenwerking met partijen.

In alle activiteiten van financiële instellingen speelt technologie een belangrijke rol. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberdreigingen is het voor de instellingen van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen. Beheersmaatregelen hierin zijn niet statisch. Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.

In deze IB-Monitor kunt u nadere details over de uitkomsten van door DNB uitgevoerd onderzoek naar informatiebeveiliging en cyberrisico’s terugvinden.

U kunt de IB-monitor hieronder downloaden. Meer informatie vindt u ook in de Q&A Informatiebeveiliging.