Grondslag
- Art. 1:1 Wft (Verwijst naar een externe site)
- Art. 3:17 eerste lid, Wft (Verwijst naar een externe site)
- Art. 3:17 tweede lid, Wft (Verwijst naar een externe site)
- Art. 17 Bpr (Verwijst naar een externe site)
- Art. 20, tweede lid Bpr (Verwijst naar een externe site)
- Art. 143, eerste lid PW (Verwijst naar een externe site)
- Art. 138, eerste lid, Wvb (Verwijst naar een externe site)
Q&A Informatiebeveiliging
Gepubliceerd: 28 mei 2019
Hoe voldoen instellingen onder het toezicht van DNB aan de wettelijke eisen ten aanzien van de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking?
Conform art. 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet (zie link onder ‘Wetten en EU Richtlijnen’ op deze pagina) beschikken instellingen onder toezicht van DNB over adequate procedures en maatregelen ter beheersing van IT-risico's. Het gaat hierbij onder meer om het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van geautomatiseerde gegevens. Adequaat betekent in dit verband dat de procedures en maatregelen zijn gebaseerd op de aard, omvang en complexiteit van de risico’s van de activiteiten van de instelling en de complexiteit van haar organisatiestructuur.
Om aan deze bepaling te kunnen voldoen hebben instellingen op grond van een risicoanalyse beheersingsmaatregelen getroffen op het gebied van informatiebeveiliging. Deze beheersingsmaatregelen zijn niet alleen gericht op technologische oplossingen (Technology), zij zijn ook gericht op menselijk handelen (People), inrichting van processen (Processes) en faciliteiten (Facilities).
Daarnaast evalueren de instellingen periodiek en aantoonbaar – als onderdeel van hun risicomanagementproces (Riskmanagement cycle) – in hoeverre de getroffen beheersingsmaatregelen in opzet, bestaan en werking effectief zijn om de voortdurend veranderende risico’s op het gebied van informatiebeveiliging en cyberdreigingen het hoofd te bieden. Daar waar nodig worden beheersingsmaatregelen verbeterd of vervangen door andere maatregelen. De instellingen richten hun Governance en Organisation in om de aansturing hiervan te bewerkstelligen.
Tevens zorgen instellingen ervoor dat zij ‘in control’ zijn op het gebied van informatiebeveiliging en cybersecurity bij uitbesteding (Outsourcing) en Testen zij in hoeverre zij weerbaar zijn tegen cyberdreigingen.
In de bij deze Q&A behorende Good Practice Informatiebeveiliging (waarvan de link staat onder ‘Gerelateerde Downloads’ op deze pagina) biedt DNB handvatten waarmee instellingen een praktische invulling kunnen geven aan de beheersingsmaatregelen op het gebied van Governance, Organisation, People, Processes, Technology, Facilities, Outsourcing, Testing en de Risk management cycle. In dat document worden verschillende good practices (aanbevelingen voor beheersingsmaatregelen) gegeven die naar het oordeel van DNB goede invulling geven aan voornoemde vereiste uit art 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet.
Relevante wet- en regelgeving
Wet op het financieel toezicht (Wft)
- Artikel 1:1; definities
- Artikel 3:17 eerste lid; beheerste en integere bedrijfsvoering
- Artikel 3:17 tweede lid; het beheersen van bedrijfsprocessen en bedrijfsrisico's.
Besluit prudentiële regels (Bpr)
- Artikel 17; onder financiële instelling wordt verstaan ene betaalonderneming, clearingonderneming, entiteit voor risico-acceptatie, kredietonderneming, premie-pensioenonderneming, verzekeraar of bijkantoor
- Artikel 20, tweede lid; beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
Pensioenwet
- Artikel 143, eerste lid; waarborgen beheerste en integere bedrijfsvoering
Wet verplichte beroepspensioenregeling
- Artikel 138, eerste lid; waarborgen beheerste en integere bedrijfsvoering*
- Good practice uitbesteding verzekeraars, uitgave van de Nederlandsche Bank N.V. van augustus 2018
- Guidance uitbesteding door pensioenfondsen, uitgave van de Nederlandsche Bank N.V. van juni 2014
* DNB is van oordeel dat de overeenkomstige toepasselijkheid voor deze (beroeps pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
# Relevante wet- en regelgeving vanuit EIOPA en EBA worden toegevoegd zodra deze van kracht zijn.
Downloads
- Good Practice IB 2019-2020 NL (20 mei 2019 | 3,1MB PDF)
- Self Assessment IB (27 mei 2014 | 5,8MB XLSX)
- IB-monitor 2021 (15 december 2021 | 667KB PDF)
Ontdek gerelateerde artikelen
Grondslag
- Art. 1:1 Wft (Verwijst naar een externe site)
- Art. 3:17 eerste lid, Wft (Verwijst naar een externe site)
- Art. 3:17 tweede lid, Wft (Verwijst naar een externe site)
- Art. 17 Bpr (Verwijst naar een externe site)
- Art. 20, tweede lid Bpr (Verwijst naar een externe site)
- Art. 143, eerste lid PW (Verwijst naar een externe site)
- Art. 138, eerste lid, Wvb (Verwijst naar een externe site)
DNB maakt gebruik van cookies
Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies.
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.