Conform art. 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet (zie link onder ‘Wetten en EU Richtlijnen’ op deze pagina) beschikken instellingen onder toezicht van DNB over adequate procedures en maatregelen ter beheersing van IT-risico's. Het gaat hierbij onder meer om het waarborgen van de integriteit, voortdurende beschikbaarheid en de beveiliging van geautomatiseerde gegevens. Adequaat betekent in dit verband dat de procedures en maatregelen zijn gebaseerd op de aard, omvang en complexiteit van de risico’s van de activiteiten van de instelling en de complexiteit van haar organisatiestructuur.
Om aan deze bepaling te kunnen voldoen hebben instellingen op grond van een risicoanalyse beheersingsmaatregelen getroffen op het gebied van informatiebeveiliging. Deze beheersingsmaatregelen zijn niet alleen gericht op technologische oplossingen (Technology), zij zijn ook gericht op menselijk handelen (People), inrichting van processen (Processes) en faciliteiten (Facilities).
Daarnaast evalueren de instellingen periodiek en aantoonbaar – als onderdeel van hun risicomanagementproces (Riskmanagement cycle) – in hoeverre de getroffen beheersingsmaatregelen in opzet, bestaan en werking effectief zijn om de voortdurend veranderende risico’s op het gebied van informatiebeveiliging en cyberdreigingen het hoofd te bieden. Daar waar nodig worden beheersingsmaatregelen verbeterd of vervangen door andere maatregelen. De instellingen richten hun Governance en Organisation in om de aansturing hiervan te bewerkstelligen.
Tevens zorgen instellingen ervoor dat zij ‘in control’ zijn op het gebied van informatiebeveiliging en cybersecurity bij uitbesteding (Outsourcing) en Testen zij in hoeverre zij weerbaar zijn tegen cyberdreigingen.
In de bij deze Q&A behorende Good Practice Informatiebeveiliging (waarvan de link staat onder ‘Gerelateerde Downloads’ op deze pagina) biedt DNB handvatten waarmee instellingen een praktische invulling kunnen geven aan de beheersingsmaatregelen op het gebied van Governance, Organisation, People, Processes, Technology, Facilities, Outsourcing, Testing en de Risk management cycle. In dat document worden verschillende good practices (aanbevelingen voor beheersingsmaatregelen) gegeven die naar het oordeel van DNB goede invulling geven aan voornoemde vereiste uit art 3.17 Wet Financieel Toezicht, juncto artikel 20 Besluit prudentiële regels en de Pensioenwet.
Relevante wet- en regelgeving
- Wet op het financieel toezicht (Wft)
- Artikel 1:1; definities
- Artikel 3:17 eerste lid; beheerste en integere bedrijfsvoering
- Artikel 3:17 tweede lid; het beheersen van bedrijfsprocessen en bedrijfsrisico's.
- Artikel 1:1; definities
- Besluit prudentiële regels (Bpr)
- Artikel 17; onder financiële instelling wordt verstaan ene betaalonderneming, clearingonderneming, entiteit voor risico-acceptatie, kredietonderneming, premie-pensioenonderneming, verzekeraar of bijkantoor
- Artikel 20, tweede lid; beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
- Artikel 17; onder financiële instelling wordt verstaan ene betaalonderneming, clearingonderneming, entiteit voor risico-acceptatie, kredietonderneming, premie-pensioenonderneming, verzekeraar of bijkantoor
- Pensioenwet
- Artikel 143, eerste lid; waarborgen beheerste en integere bedrijfsvoering
- Artikel 143, eerste lid; waarborgen beheerste en integere bedrijfsvoering
- Wet verplichte beroepspensioenregeling
- Artikel 138, eerste lid; waarborgen beheerste en integere bedrijfsvoering*
- Artikel 138, eerste lid; waarborgen beheerste en integere bedrijfsvoering*
- Good practice uitbesteding verzekeraars, uitgave van de Nederlandsche Bank N.V. van augustus 2018
- Guidance uitbesteding door pensioenfondsen, uitgave van de Nederlandsche Bank N.V. van juni 2014
* DNB is van oordeel dat de overeenkomstige toepasselijkheid voor deze (beroeps pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
# Relevante wet- en regelgeving vanuit EIOPA en EBA worden toegevoegd zodra deze van kracht zijn.