Antwoord:
Conform de Wet Financieel Toezicht en de Pensioenwet is DNB van oordeel dat ondernemingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van IT-risico's. Adequaat betekent in dit verband dat de procedures dienen te zijn gebaseerd op de aard van de onderneming en de complexiteit van de organisatiestructuur.
Financiële ondernemingen waarop artikel 3:17 van de Wet op het financieel toezicht (Wft) van toepassing is, dienen ingevolge het eerste lid van dat artikel hun bedrijfsvoering zodanig in te richten dat deze een beheerste en integere bedrijfsuitoefening waarborgt. In het tweede lid van dat artikel, aanhef en onderdeel a, is bepaald dat bij of krachtens algemene maatregel van bestuur regels worden gesteld met betrekking tot bedoeld eerste lid, wat betreft het beheersen van bedrijfsprocessen en bedrijfsrisico's.
Ter uitvoering daarvan is in artikel 20, tweede lid van het Besluit prudentiële regels (Bpr) bepaald dat een financiële onderneming - waaronder wordt verstaan een betaalinstelling, clearinginstelling, entiteit voor risico-acceptatie, kredietinstelling, premiepensioeninstelling, verzekeraar of bijkantoor als bedoeld in artikel 17 Bpr - beschikt over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
Pensioenfondsen en beroepspensioenfondsen waarop artikel 143 van de Pensioenwet (PW) onderscheidenlijk artikel 138 van de Wet verplichte beroepspensioenregeling van toepassing is, dienen ingevolge het eerste lid van die beide artikelen hun organisatie zodanig in te richten dat deze een beheerste en integere bedrijfsvoering waarborgt. In het tweede lid van deze artikelen, aanhef en onderdeel a, is bepaald dat bij of krachtens algemene maatregel van bestuur regels worden gesteld met betrekking tot het eerste lid van die artikelen wat betreft het beheersen van bedrijfsprocessen en bedrijfsrisico's.
Van een nadere uitwerking van het vereiste van een beheerste en integere bedrijfsvoering in regels met betrekking tot het beheersen van bedrijfsprocessen en bedrijfsrisico's overeenkomstig het bepaalde in artikel 20, tweede lid Bpr, is voor pensioenfondsen en beroepspensioenfondsen geen sprake, anders dan dat zij beschikken over goede administratieve en boekhoudkundige procedures en adequate interne controlemechanismen en beleid ten aanzien van de beheersing van de te lopen risico's (artikel 18 van het Besluit financieel toetsingskader pensioenfondsen).
Dit laat onverlet dat DNB van oordeel is dat de overeenkomstige toepasselijkheid voor deze (beroeps)pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.