Ga direct naar de inhoudGa naar het hoofdmenu.Ga naar het zoekveld.

DNB logoDNB logo

Open Boek Toezicht

Q&A Informatiebeveiliging

Relevant voor:
ac, afo, ba, bi, bo, bti, cl, egi, pf, ppi, tk, vz, wi
Status:
Q&A
Datum:
28 mei 2019
Geldigheid:
geldig 
Referentie:
00659
Auteur:
DNB

Vraag:

Hoe voldoen instellingen onder het toezicht van DNB aan de wettelijke eisen ten aanzien van de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking?

Antwoord:

Conform art. 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet (zie link onder ‘Wetten en EU Richtlijnen’ op deze pagina) beschikken instellingen onder toezicht van DNB over adequate procedures en maatregelen ter beheersing van IT-risico's. Het gaat hierbij onder meer om het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van geautomatiseerde gegevens. Adequaat betekent in dit verband dat de procedures en maatregelen zijn gebaseerd op de aard, omvang en complexiteit van de risico’s van de activiteiten van de instelling en de complexiteit van haar organisatiestructuur.

Om aan deze bepaling te kunnen voldoen hebben instellingen op grond van een risicoanalyse beheersingsmaatregelen getroffen op het gebied van informatiebeveiliging. Deze beheersingsmaatregelen zijn niet alleen gericht op technologische oplossingen (Technology), zij zijn ook gericht op menselijk handelen (People), inrichting van processen (Processes) en faciliteiten (Facilities).

Daarnaast evalueren de instellingen periodiek en aantoonbaar – als onderdeel van hun risicomanagementproces (Riskmanagement cycle) – in hoeverre de getroffen beheersingsmaatregelen in opzet, bestaan en werking effectief zijn om de voortdurend veranderende risico’s op het gebied van informatiebeveiliging en cyberdreigingen het hoofd te bieden. Daar waar nodig worden beheersingsmaatregelen verbeterd of vervangen door andere maatregelen. De instellingen richten hun Governance en Organisation in om de aansturing hiervan te bewerkstelligen.

Tevens zorgen instellingen ervoor dat zij ‘in control’ zijn op het gebied van informatiebeveiliging en cybersecurity bij uitbesteding (Outsourcing) en Testen zij in hoeverre zij weerbaar zijn tegen cyberdreigingen.

In de bij deze Q&A behorende Good Practice Informatiebeveiliging (waarvan de link staat onder ‘Gerelateerde Downloads’ op deze pagina) biedt DNB handvatten waarmee instellingen een praktische invulling kunnen geven aan de beheersingsmaatregelen op het gebied van Governance, Organisation, People, Processes, Technology, Facilities, Outsourcing, Testing en de Risk management cycle. In dat document worden verschillende good practices (aanbevelingen voor beheersingsmaatregelen) gegeven die naar het oordeel van DNB goede invulling geven aan voornoemde vereiste uit art 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet.

Relevante wet- en regelgeving

  • Wet op het financieel toezicht (Wft)
    • Artikel 1:1; definities
    • Artikel 3:17 eerste lid; beheerste en integere bedrijfsvoering
    • Artikel 3:17 tweede lid; het beheersen van bedrijfsprocessen en bedrijfsrisico's.

  • Besluit prudentiële regels (Bpr)
    • Artikel 17; onder financiële instelling wordt verstaan ene betaalonderneming, clearingonderneming, entiteit voor risico-acceptatie, kredietonderneming, premie-pensioenonderneming, verzekeraar of bijkantoor
    • Artikel 20, tweede lid; beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.

  • Pensioenwet
    • Artikel 143, eerste lid; waarborgen beheerste en integere bedrijfsvoering

  • Wet verplichte beroepspensioenregeling
    • Artikel 138, eerste lid; waarborgen beheerste en integere bedrijfsvoering*

  • Good practice uitbesteding verzekeraars, uitgave van de Nederlandsche Bank N.V. van augustus 2018
  • Guidance uitbesteding door pensioenfondsen, uitgave van de Nederlandsche Bank N.V. van juni 2014

* DNB is van oordeel dat de overeenkomstige toepasselijkheid voor deze (beroeps pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.

# Relevante wet- en regelgeving vanuit EIOPA en EBA worden toegevoegd zodra deze van kracht zijn.

Reageer op deze pagina
Sector
  • Aanbieders cryptodiensten
  • Afwikkelondernemingen
  • Banken
  • Beleggingsinstellingen
  • Beleggingsondernemingen
  • Betaalinstellingen
  • Clearinginstellingen
  • Elektronischgeldinstellingen
  • Pensioenfondsen
  • Premiepensioeninstellingen
  • Trustkantoren
  • Verzekeraars
  • Wisselinstellingen
Wetten en EU Richtlijnen
  • CRR en CRD
  • Wft
  • Wet toezicht trustkantoren 2018 (Wtt 2018)
  • Wbft 2019
  • Sanctiewet 1977 (Sw)
  • Wfbb
  • Wvb
  • Wet verplichte deelneming in een bedrijfstakpensioenfonds 2000
  • Wwft
  • Zvw
  • Solvency II
  • EMIR - 648/2012/EU
Grondslag
  • Artikel 1:1 Wet op het financieel toezicht
  • Artikel 3:17 eerste lid, Wet op het financieel toezicht
  • Artikel 3:17 tweede lid, Wet op het financieel toezicht
  • Artikel 17, Besluit prudentiële regels (Bpr)
  • Artikel 20, tweede lid, Besluit prudentiële regels (Bpr)
  • Artikel 143, eerste lid, Pensioenwet
  • Artikel 138, eerste lid, Wet verplichte beroepspensioenregeling
Gerelateerde onderwerpen
  • Melding uitbesteding / cloudcomputing
  • Governance: Uitbesteding
  • Uitbesteding Verzekeraars; Good Practice Uitbesteding en EIOPA Guideline voor uitbesteding naar de cloud
  • Uitbesteding door banken, betaalinstellingen en EGI’s
meer
Gerelateerde Q&A
  • Governance: Wettelijke eisen ten aanzien beheersing IT risico’s
  • Governance risicomanagement
Gerelateerde Downloads
  • Good Practice IB 2019-2020
  • Self-assessment IB vanaf 2019
  • Informatiebeveiligingsmonitor april 2020
Navigatie English Home
  • DNB.nl
  • Sector
  • Wetten en EU Richtlijnen
  • Home
  • Contact
  • Sitemap
  • English
Uitgebreid zoeken
© De Nederlandsche Bank
Disclaimer Cookies Privacy Verklaring Open Boek Toezicht