Drie aandachtsgebieden uit het IT Risk Assessment

Nieuwsbericht
Datum 2 oktober 2020

In de toezichtagenda 2020 voor de betaal- en elektronischgeldinstellingen is een thematisch IT-onderzoek opgenomen. Aanvankelijk zou dit onderzoek in het tweede kwartaal van 2020 worden uitgevoerd, maar vanwege de Covid-19 crisis heeft DNB de inleverdatum van deze self-assessment uitgesteld. Op de nieuwe deadline, 17 juli, hebben alle betrokken instellingen tijdig de IT self-assessments aan DNB verstrekt.

Hertoetsing

Het doel van dit onderzoek is om via een self-assessment een actueel beeld te krijgen van de beheersing van IT. Niet alle vergunninghouders nemen deel aan dit onderzoek. Instellingen die recent een vergunning hebben verkregen of die recent een diepgaander IT onsite onderzoek van DNB hebben gehad, hoefden niet aan de self-assessment deel te nemen. 

DNB heeft de ingeleverde self-assessments geanalyseerd en bij enkele instellingen aanvullende vragen gesteld of informatie opgevraagd. Naar aanleiding van de uitkomsten zal per deelnemende instelling een terugkoppeling plaatsvinden.

Op basis van de bevindingen brengt DNB alvast graag een aantal generieke aandachtspunten onder de aandacht. 

Aandachtspunt 1: Auditverplichting

In de EBA-richtsnoeren inzake ICT en risicobeheer op het gebied van veiligheid (EBA/GL/2019/04) is expliciet omschreven dat een betaaldienstverlener periodiek een audit dient uit te voeren op de beveiligings- en operationele aspecten. Deze audit dient voldoende onafhankelijk uitgevoerd te worden. 

Aandachtspunt 2: Down-time en storingen

Grote verstoringen dienen te worden gemeld bij DNB onder de Major Incident rapportage verplichting. Zie voor de vereisten hoofdstuk 3.5.1 van de EBA richtsnoeren inzake ICT en risicobeheer op het gebied van veiligheid (EBA/GL/2019/04) en de drempelwaarden zoals uiteengezet in de richtsnoeren voor het melden van ernstige incidenten in het kader van PSD2 (EBA/GL/2017/10). 

Aandachtspunt 3: Outsourcing

Vrijwel alle instellingen maken gebruik van externe serviceproviders, al dan niet door middel van intragroep-uitbesteding. Goede kwaliteit van de vastlegging van de services en het toereikend monitoren van de geleverde services is daarbij van belang voor de risicobeheersing. Extra aandachtspunt bij uitbestedingen is de Brexit: instellingen die na de Brexit intragroep-uitbestedingen doen in het VK, moeten die beheersen als externe uitbesteding. De beheersing dient hierop aangepast te worden.

Terug naar de Nieuwsbrief