Grondslag
- Art. 1:1 Wft (Verwijst naar een externe site)
- Art. 3:17 eerste lid, Wft (Verwijst naar een externe site)
- Art. 3:17 tweede lid, Wft (Verwijst naar een externe site)
- Art. 17 Bpr (Verwijst naar een externe site)
- Art. 18 Besluit financieel toetsingskader pensioenfondsen (Verwijst naar een externe site)
- Art. 20, tweede lid Bpr (Verwijst naar een externe site)
- Art. 143, eerste lid PW (Verwijst naar een externe site)
- Art. 138, eerste lid, Wvb (Verwijst naar een externe site)
- Guidelines on information and communication technology security and governance (europa.eu) (Verwijst naar een externe site)
- Guidelines on outsourcing to cloud service providers (europa.eu) (Verwijst naar een externe site)
- DORA (Verwijst naar een externe site)
- Good Practice Uitbesteding Verzekeraars
- Guidance Uitbesteding Pensioenfondsen
Q&A Informatiebeveiliging
Vraag:
Hoe voldoen pensioenfondsen, premiepensioeninstellingen en verzekeraars (hierna “instellingen”) onder het toezicht van DNB aan de wettelijke eisen ten aanzien van de voortdurende beschikbaarheid, integriteit, vertrouwelijkheid, authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid van de geautomatiseerde gegevensverwerking?
Gepubliceerd: 28 mei 2019
Laatste update: 19 december 2023
Op grond van art. 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en artikel 143 Pensioenwet en artikel 18 Besluit FTK beschikken instellingen onder toezicht van DNB over adequate procedures en maatregelen ter beheersing van ICT-risico’s. Onder beheersing van ICT-risico’s valt het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van de geautomatiseerde gegevensverwerking. Adequaat betekent in dit verband dat de procedures en beheersmaatregelen zijn gebaseerd op de aard, omvang en complexiteit van de risico’s van de activiteiten van de instelling en de complexiteit van haar organisatiestructuur. Dit omvat tevens procedures en beheersmaatregelen van die onderdelen van de geautomatiseerde gegevensverwerking die zijn (onder)uitbesteed. In dit document worden het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van geautomatiseerde gegevens, kort aangeduid met ‘informatiebeveiliging en cybersecurity’.
Om aan deze bepalingen te kunnen voldoen hebben instellingen op grond van een risicoanalyse beheersmaatregelen getroffen op het gebied van informatiebeveiliging en cybersecurity. Deze beheersmaatregelen zijn niet alleen gericht op technologische oplossingen (Technology), zij zijn ook gericht op menselijk handelen (People), inrichting van processen (Processes) en faciliteiten (Facilities).
Instellingen evalueren periodiek en aantoonbaar in hoeverre de getroffen beheersmaatregelen in opzet, bestaan en werking effectief zijn om de voortdurend veranderende risico’s op het gebied van informatiebeveiliging en cybersecurity het hoofd te bieden. Dit doen zij op basis van een risicoanalyse– als onderdeel van hun risicomanagementproces (Risk Management Cycle). Daar waar nodig worden beheersmaatregelen verbeterd of vervangen door andere beheersmaatregelen. De instellingen richten hun bestuur (Governance) en organisatie (Organisation) in om de aansturing hiervan te bewerkstelligen. Instellingen zorgen daarbij onder andere in lijn met de nieuwe corporate governance code 2022, de DNB Q&A Sleutelfuncties en adequate functiescheiding en de DNB Q&A Operationeel onafhankelijke en proportionele inrichting van sleutelfuncties voor een passende scheiding en onafhankelijkheid van ICT-risicobeheer functies, controlefuncties en interne auditfuncties. Verder heeft het bestuur aantoonbaar op hen toegesneden trainingen en opleidingen gevolgd om de belangrijkste ICT-risico’s en beheersmaatregelen voor haar instelling te kunnen begrijpen (People).
Tevens zorgen instellingen ervoor dat zij ‘in control’ zijn op het gebied van informatiebeveiliging bij uitbesteding (Outsourcing). Daarnaast testen (Testing) zij in hoeverre zij als instelling weerbaar zijn tegen cyberdreigingen. In de bij deze Q&A behorende Good Practice Informatiebeveiliging biedt DNB handvatten waarmee instellingen een praktische invulling kunnen geven aan de beheersmaatregelen op het gebied van Governance, Organisation, People, Processes, Technology, Facilities,
Outsourcing, Testing en de Risk Management Cycle. In dat document worden verschillende Good Practices (aanbevelingen voor beheersmaatregelen) gegeven die naar het oordeel van DNB goede invulling geven aan voornoemde vereisten uit art 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en artikel 143 Pensioenwet en artikel 18 Besluit FTK.
Deze Q&A is 19-12-2023 geactualiseerd. Het antwoord is uitgebreid met passages over (onder)uitbesteding, governance & sleutelfuncties, trainingen & opleidingen en een definitie van informatiebeveiliging & cybersecurity.
DISCLAIMER
Q&A’s bieden nader inzicht in de beleidspraktijk van DNB doordat we daarin wettelijke toezichtregels interpreteren. Onder toezicht staande instellingen kunnen ook op andere wijze aan de wet- of regelgeving voldoen. Instellingen moeten daarbij wel gemotiveerd aan DNB kunnen aantonen dat zij met hun invulling voldoen aan de wet- of regelgeving. Voor een nadere toelichting op de status van de beleidsuitingen van DNB zie de Leeswijzer beleidsuitingen DNB op Open Boek Toezicht.
Downloads
- Good Practice Informatiebeveiliging 2023 (19 december 2023 | 4,1MB PDF)
- Self Assessment IB (19 december 2023 | 6MB XLSX)
- Good Practice IB 2019-2020 NL (20 mei 2019 | 3,1MB PDF)
Relevante wet- en regelgeving
Wet op het financieel toezicht (Wft)
- Artikel 1:1; definities
- Artikel 3:17 eerste lid; beheerste en integere bedrijfsvoering
- Artikel 3:17 tweede lid; het beheersen van bedrijfsprocessen en bedrijfsrisico's
Besluit prudentiële regels (Bpr)
- Artikel 17; onder financiële instelling wordt verstaan ene betaalonderneming, clearingonderneming, entiteit voor risico-acceptatie, kredietonderneming, premie-pensioenonderneming, verzekeraar of bijkantoor
- Artikel 20, tweede lid; beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
Pensioenwet
- Artikel 143, eerste lid; waarborgen beheerste en integere bedrijfsvoering
Wet verplichte beroepspensioenregeling
- Artikel 138, eerste lid; waarborgen beheerste en integere bedrijfsvoering*
Besluit Financieel Toetsingskader Pensioenfondsen
- Artikel 18; beheerste bedrijfsvoering
EIOPA
- EIOPA Richtsnoeren betreffende beveiliging en governance van informatie- en communicatietechnologie
- EIOPA Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten
- Regulation on Digital Operational Resilience
- Good practice uitbesteding verzekeraars, uitgave van de Nederlandsche Bank N.V. van augustus 2018
- Guidance uitbesteding door pensioenfondsen, uitgave van de Nederlandsche Bank N.V. van juni 2014
* DNB is van oordeel dat de overeenkomstige toepasselijkheid voor deze (beroeps pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
Ontdek gerelateerde artikelen
Grondslag
- Art. 1:1 Wft (Verwijst naar een externe site)
- Art. 3:17 eerste lid, Wft (Verwijst naar een externe site)
- Art. 3:17 tweede lid, Wft (Verwijst naar een externe site)
- Art. 17 Bpr (Verwijst naar een externe site)
- Art. 18 Besluit financieel toetsingskader pensioenfondsen (Verwijst naar een externe site)
- Art. 20, tweede lid Bpr (Verwijst naar een externe site)
- Art. 143, eerste lid PW (Verwijst naar een externe site)
- Art. 138, eerste lid, Wvb (Verwijst naar een externe site)
- Guidelines on information and communication technology security and governance (europa.eu) (Verwijst naar een externe site)
- Guidelines on outsourcing to cloud service providers (europa.eu) (Verwijst naar een externe site)
- DORA (Verwijst naar een externe site)
- Good Practice Uitbesteding Verzekeraars
- Guidance Uitbesteding Pensioenfondsen
DNB maakt gebruik van cookies
Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies.
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.