Conform art. 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet (zie onder ‘Wetten en EU Richtlijnen’ op deze pagina) beschikken instellingen onder toezicht van DNB over adequate procedures en maatregelen ter beheersing van IT-risico's. Het gaat hierbij onder meer om het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van geautomatiseerde gegevens. Adequaat betekent in dit verband dat de procedures en maatregelen zijn gebaseerd op de aard, omvang en complexiteit van de risico’s van de activiteiten van de instelling en de complexiteit van haar organisatiestructuur.
Om aan deze bepaling te kunnen voldoen hebben instellingen op grond van een risicoanalyse beheersingsmaatregelen op het gebied van informatiebeveiliging getroffen. Deze beheersingsmaatregelen zijn niet alleen gericht op technologische oplossingen (Technology), zij zijn ook gericht op menselijk handelen (People), inrichting van processen (Processes) en faciliteiten (Facilities).
Daarnaast evalueren de instellingen periodiek en aantoonbaar – als onderdeel van hun risicomanagement proces (Riskmanagement cycle) – in hoeverre de getroffen beheersingsmaatregelen in opzet, bestaan en werking effectief zijn om de voortdurend veranderende risico’s op het gebied van informatiebeveiliging en cyberdreigingen het hoofd te bieden. Daar waar nodig worden beheersingsmaatregelen verbeterd of vervangen door andere maatregelen. De instellingen richten hun Governance en Organisation in om de aansturing hiervan te bewerkstelligen.
Tevens zorgen instellingen ervoor dat zij ‘in control’ zijn op het gebied van informatiebeveiliging en cyber security bij uitbesteding (Outsourcing) en Testen zij in hoeverre zij weerbaar zijn tegen cyberdreigingen.
Sinds een aantal jaren onderzoekt DNB de kwaliteit van informatiebeveiliging en cybersecurity binnen de financiële sector. DNB doet dit sinds 2010 op basis van periodieke self assessments bij de onder haar toezicht staande instellingen. Als handvat voor het invullen van deze self assessments heeft DNB tot nu toe in de ‘Q&A Toetsingskader Informatiebeveiliging voor DNB onderzoek’ aangegeven waar zij op let bij haar onderzoeken.
Deze Q&A en de Good Practice Informatiebeveiliging (waarvan de link staat onder ‘Gerelateerde Downloads’ op deze pagina) vormen een actualisering van het ‘Toetsingskader Informatiebeveiliging voor DNB onderzoek’.
In de geactualiseerde Good Practice Informatiebeveiliging biedt DNB handvatten waarmee instellingen een praktische invulling kunnen geven aan de beheersingsmaatregelen op het gebied van Governance, Organisation, People, Processes, Technology, Facilities, Outsourcing, Testing en de Risk management cycle. In dat document worden verschillende good practices (aanbevelingen voor beheersingsmaatregelen) gegeven die naar het oordeel van DNB goede invulling geven aan voornoemde vereiste uit art 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet.