Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Q&A Informatiebeveiliging

Factsheet

Vraag:

Hoe voldoen pensioenfondsen, premiepensioeninstellingen en verzekeraars (hierna “instellingen”) onder het toezicht van DNB aan de wettelijke eisen ten aanzien van de voortdurende beschikbaarheid, integriteit, vertrouwelijkheid, authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid van de geautomatiseerde gegevensverwerking?

Gepubliceerd: 28 mei 2019

Laatste update: 19 december 2023

Bekijk eerdere versies in het archief

Deze DNB-beleidsuiting wordt momenteel opnieuw door DNB beoordeeld in het licht van de Digital Operational Resilience Act (DORA) die met ingang van 17 januari 2025 van kracht wordt voor de financiële sector. Mogelijk wordt deze beleidsuiting aangepast of ingetrokken. De beleidsuiting blijft tot het moment van een eventuele herziening of intrekking van toepassing. Nadere informatie over DORA is te vinden op (inclusief periodieke verschijnende nieuwsberichten): www.dnb.nl/DORA 

Op grond van art. 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en artikel 143 Pensioenwet en artikel 18 Besluit FTK beschikken instellingen onder toezicht van DNB over adequate procedures en maatregelen ter beheersing van ICT-risico’s. Onder beheersing van ICT-risico’s valt het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van de geautomatiseerde gegevensverwerking. Adequaat betekent in dit verband dat de procedures en beheersmaatregelen zijn gebaseerd op de aard, omvang en complexiteit van de risico’s van de activiteiten van de instelling en de complexiteit van haar organisatiestructuur. Dit omvat tevens procedures en beheersmaatregelen van die onderdelen van de geautomatiseerde gegevensverwerking die zijn (onder)uitbesteed. In dit document worden het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van geautomatiseerde gegevens, kort aangeduid met ‘informatiebeveiliging en cybersecurity’.

Om aan deze bepalingen te kunnen voldoen hebben instellingen op grond van een risicoanalyse beheersmaatregelen getroffen op het gebied van informatiebeveiliging en cybersecurity. Deze beheersmaatregelen zijn niet alleen gericht op technologische oplossingen (Technology), zij zijn ook gericht op menselijk handelen (People), inrichting van processen (Processes) en faciliteiten (Facilities).

Instellingen evalueren periodiek en aantoonbaar in hoeverre de getroffen beheersmaatregelen in opzet, bestaan en werking effectief zijn om de voortdurend veranderende risico’s op het gebied van informatiebeveiliging en cybersecurity het hoofd te bieden. Dit doen zij op basis van een risicoanalyse– als onderdeel van hun risicomanagementproces (Risk Management Cycle). Daar waar nodig worden beheersmaatregelen verbeterd of vervangen door andere beheersmaatregelen. De instellingen richten hun bestuur (Governance) en organisatie (Organisation) in om de aansturing hiervan te bewerkstelligen. Instellingen zorgen daarbij onder andere in lijn met de nieuwe corporate governance code 2022, de DNB Q&A Sleutelfuncties en adequate functiescheiding en de DNB Q&A Operationeel onafhankelijke en proportionele inrichting van sleutelfuncties voor een passende scheiding en onafhankelijkheid van ICT-risicobeheer functies, controlefuncties en interne auditfuncties. Verder heeft het bestuur aantoonbaar op hen toegesneden trainingen en opleidingen gevolgd om de belangrijkste ICT-risico’s en beheersmaatregelen voor haar instelling te kunnen begrijpen (People).

Tevens zorgen instellingen ervoor dat zij ‘in control’ zijn op het gebied van informatiebeveiliging bij uitbesteding (Outsourcing). Daarnaast testen (Testing) zij in hoeverre zij als instelling weerbaar zijn tegen cyberdreigingen. In de bij deze Q&A behorende Good Practice Informatiebeveiliging biedt DNB handvatten waarmee instellingen een praktische invulling kunnen geven aan de beheersmaatregelen op het gebied van Governance, Organisation, People, Processes, Technology, Facilities,

Outsourcing, Testing en de Risk Management Cycle. In dat document worden verschillende Good Practices (aanbevelingen voor beheersmaatregelen) gegeven die naar het oordeel van DNB goede invulling geven aan voornoemde vereisten uit art 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en artikel 143 Pensioenwet en artikel 18 Besluit FTK.

Deze Q&A is 19-12-2023 geactualiseerd. Het antwoord is uitgebreid met passages over (onder)uitbesteding, governance & sleutelfuncties, trainingen & opleidingen en een definitie van informatiebeveiliging & cybersecurity.

DISCLAIMER
Q&A’s bieden nader inzicht in de beleidspraktijk van DNB doordat we daarin wettelijke toezichtregels interpreteren. Onder toezicht staande instellingen kunnen ook op andere wijze aan de wet- of regelgeving voldoen. Instellingen moeten daarbij wel gemotiveerd aan DNB kunnen aantonen dat zij met hun invulling voldoen aan de wet- of regelgeving. Voor een nadere toelichting op de status van de beleidsuitingen van DNB zie de Leeswijzer beleidsuitingen DNB op Open Boek Toezicht.

Downloads

Relevante wet- en regelgeving

Wet op het financieel toezicht (Wft)

  • Artikel 1:1; definities
  • Artikel 3:17 eerste lid; beheerste en integere bedrijfsvoering
  • Artikel 3:17 tweede lid; het beheersen van bedrijfsprocessen en bedrijfsrisico's

Besluit prudentiële regels (Bpr)

  • Artikel 17; onder financiële instelling wordt verstaan ene betaalonderneming, clearingonderneming, entiteit voor risico-acceptatie, kredietonderneming, premie-pensioenonderneming, verzekeraar of bijkantoor
  • Artikel 20, tweede lid; beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.

Pensioenwet

  • Artikel 143, eerste lid; waarborgen beheerste en integere bedrijfsvoering

Wet verplichte beroepspensioenregeling

  • Artikel 138, eerste lid; waarborgen beheerste en integere bedrijfsvoering*

Besluit Financieel Toetsingskader Pensioenfondsen

  • Artikel 18; beheerste bedrijfsvoering

EIOPA

  • EIOPA Richtsnoeren betreffende beveiliging en governance van informatie- en communicatietechnologie
  • EIOPA Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten
  • Regulation on Digital Operational Resilience
  • Good practice uitbesteding verzekeraars, uitgave van de Nederlandsche Bank N.V. van augustus 2018
  • Guidance uitbesteding door pensioenfondsen, uitgave van de Nederlandsche Bank N.V. van juni 2014

* DNB is van oordeel dat de overeenkomstige toepasselijkheid voor deze (beroeps pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.

Ontdek gerelateerde artikelen