Een bron voor de kwalitatieve informatie vormen de vragenlijsten van de SBA NFR.
Om te komen tot risicoscores die passend zijn bij het feitelijke risicoprofiel van de instelling, is het van belang dat de ingevulde vragenlijsten een realistisch beeld geven van de werkelijke situatie.
In het eerste kwartaal van 2023 heeft DNB bij een aantal verzekeraars en pensioenfondsen een validatie uitgevoerd om te bekijken of de ingevulde vragenlijsten voor de verschillende onderdelen van de SBA NFR een realistisch beeld geven.
Deze verificatie is uitgevoerd voor de uitvraag beheersing financiële risico’s en de self-assessment informatiebeveiliging. Beide vragenlijsten zijn medio juni 2022 ingediend bij DNB. Middels deze verificatie borgt DNB de kwaliteit van de aangeleverde gegevens en de onderlinge vergelijkbaarheid van de verschillende instellingen.
Uitkomsten en oproep
Uit de verificatie is gebleken dat bij een aantal verzekeraars en pensioenfondsen de ingevulde vragenlijsten verbetering behoeven. De observaties voor beide onderdelen staan toegelicht in de volgende paragrafen.
Bij het invullen van de vragenlijsten van de SBA NFR uitvraag 2023 vraagt DNB alle verzekeraars en pensioenfondsen aandacht voor de kwaliteit en de aantoonbaarheid van de gegeven antwoorden.
DNB zal mogelijk na aanlevering van de beantwoording op de SBA NFR uitvraag 2023 wederom bij een aantal geselecteerde verzekeraars en pensioenfondsen een verificatie uitvoeren.
Uitvraag Beheersing financiële risico’s
DNB heeft de verificatie uitgevoerd door bij de geselecteerde verzekeraars specifieke documentatie op te vragen die de gegeven antwoorden in de vragenlijst moet ondersteunen/onderschrijven, eventueel aangevuld met een toelichtend gesprek.
DNB verwacht dat gegeven antwoorden van de ingevulde vragenlijst door middel van onderliggende (beleids)documenten, rapportages aantoonbaar gemaakt kunnen worden.
De uitkomst van de uitgevoerde verificatie was dat de antwoorden op vragen over de beheersing van financiële risico’s niet in alle gevallen een realistisch beeld gaven van de werkelijke situatie bij de verzekeraars.
De volgende generieke observaties komen voort uit de validatie:
- Verzekeraars hebben niet altijd aantoonbaar kunnen maken dat een periodieke risicomanagementrapportage is opgesteld.
- Verzekeraars hebben niet altijd aantoonbaar kunnen maken dat actueel schriftelijk beleid beschikbaar is van alle te onderscheiden risicogebieden.
- Verzekeraars hebben niet altijd aantoonbaar kunnen maken dat schriftelijk evaluaties m.b.t. de beheersing van prudentiële risico’s zijn vastgelegd.
Self-assessment informatiebeveiliging
Het self-assesment informatiebeveiliging is gebaseerd op de 58 controls uit de Good Practice Informatiebeveiliging van DNB 2019/2020, zie Q&A Informatiebeveiliging (dnb.nl). DNB heeft de verificatie uitgevoerd door bij de geselecteerde verzekeraars en pensioenfondsen te toetsen hoe de antwoorden op het assessment tot stand zijn gekomen, op basis van welke onderbouwing en hoe de instellingen de volwassenheidsniveaus interpreteren. Uit de validatie blijkt dat bij een aantal van de geselecteerde instellingen de niveaus verschillend zijn geïnterpreteerd en dat instellingen hun volwassenheidsniveau op het gebied van informatiebeveiliging en cybersecurity te optimistisch rapporteren. In veel gevallen is sprake van een onvoldoende kritische en onafhankelijke blik doordat de tweede en of derde lijn niet betrokken zijn bij de beoordeling van de volwassenheidsniveaus in het self-assessment.
De volgende generieke observaties komen voort uit de validatie:
- De eerste lijn neemt haar verantwoordelijkheid voor informatiebeveiliging en vult het self-assessment in. Wel is zij onvoldoende kritisch ten opzichte van de beheersing van de informatiebeveiliging.
- De tweede en derde lijn worden onvoldoende betrokken bij het vaststellen en bespreken van de volwassenheidsniveaus. Mede hierdoor ontbreekt het vaak aan een kritisch zijlicht voor de eerste lijn.
- Er is sprake van misinterpretatie van de volwassenheidsniveaus ‘3’ en ‘4’, zoals genoemd in de DNB Good Practice Informatiebeveiliging en/of deze zijn in onvoldoende mate aantoonbaar. Het is van belang dat de controls aantoonbaar voor minimaal 6 maanden werken voordat sprake is van een volwassenheidsniveau ‘3’. Uit de validatie blijkt echter dat de effectieve werking van controls niet altijd voor een langere periode (>6 maanden) kon worden aangetoond. Voor het volwassenheidsniveau ‘4’ komt daar nog bij dat de control aantoonbaar geëvalueerd moet zijn.
- Meerdere onderzochte instellingen steunen in hoge mate op uitbestedingspartners. Van de meeste uitbestedingspartners wordt een ISAE 3402-II rapport ontvangen, maar een evaluatie van de rapportage vindt niet aantoonbaar plaats. Instellingen die ketenrisico’s goed beheersen, evalueren de scope, diepgang, uitkomsten en de benodigde eigen entity level controls van assurance rapportages die zij ontvangen. Daarbij maken zij een inschatting hoe de uitkomsten meewegen in hun self-assessment informatiebeveiliging.
- Instellingen stemmen het informatiebeveiligingsbeleid van hun uitbestedingspartners vrijwel niet af met hun eigen beleid.
DNB benadrukt dat het bestuur eindverantwoordelijk is voor de inhoudelijke juistheid van de rapportage middels het self-assessment over de volwassenheidsniveaus. Onderdeel van beheerste bedrijfsvoering en gedegen risicomanagement, is dat de volwassenheidsniveaus aantoonbaar zijn en dat een interne en kritische onafhankelijke beoordeling plaatsvindt voordat de uitkomsten van het self-assessment worden gerapporteerd.