Sinds een aantal jaren onderzoekt DNB de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel van dit onderzoek zijn periodieke self assessments, die bij banken, verzekeraars en pensioenfondsen worden uitgezet. Voor deze self assessment is het Toetsingskader Informatiebeveiliging opgesteld. Hieronder volgt nadere informatie over dit toetsingskader en de wettelijk context.
Conform de Wet Financieel Toezicht en de Pensioenwet (zie onder voor de wettelijke eisen) is DNB van oordeel dat de financiële instellingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico's. Het gaat hierbij ondermeer om het waarborgen van de continuïteit van de IT en de beveiliging van informatie. Adequaat betekent in dit verband dat de procedures zijn gebaseerd op de aard van de financiële instelling en de complexiteit van de organisatiestructuur. De procedures moeten voldoen aan algemeen geaccepteerde standaarden (good practices). Ook dienen ze bij voorkeur afgestemd te zijn op de bedrijfstak-specifieke omstandigheden van de desbetreffende financiële instelling. Een voorbeeld van dergelijke standaarden zijn Cobit en ISO27000. Deze standaarden bevatten in beginsel door DNB toereikend geachte maatregelen.
Specifiek voor het waarborgen van de beveiliging van informatie heeft DNB een toetsingskader gemaakt bestaande uit een selectie van Cobit controls. Door DNB is gesteld dat deze controls in het kader van beheerste bedrijfsvoering allen een volwassenheidsniveau van minimaal "3" dienen te hebben (de 54 controls dienen aantoonbaar werkend te zijn). Daarnaast stelt DNB dat drie controls in de categorie "Assess and manage (IT) risks" een hoger minimaal volwassenheidsniveau (“4”) moeten hebben (voor deze 3 controls is een aantoonbare periodieke evaluatie en eventuele aanpassing op basis van deze evaluatie vereist).
In 2017 is het toetsingskader niet inhoudelijk gewijzigd. Wel zijn in de vragenlijst enkele tekstuele verbeteringen aangebracht en is de toelichting geactualiseerd. Beide documenten zijn te vinden onder het kopje ‘Gerelateerde Downloads’. Het is uiteraard mogelijk dat zich omstandigheden kunnen voordoen dat de bedrijfsvoering van een financiële instelling een betere beveiliging vereist dan op grond van Cobit en ISO27000 kan worden bereikt. Dit is ter beoordeling van de instelling zelf. Deze procedures en maatregelen dienen geïntegreerd te zijn in de IT-processen en werkzaamheden van alle relevante onderdelen van de financiële instelling, zodat zij een geïntegreerd onderdeel zijn van de organisatie als geheel.
Wettelijk eisen voor de beveiliging
Hieronder volgt het wettelijk kader waarop het antwoord is gebaseerd.
Financiële ondernemingen waarop artikel 3:17 van de Wet op het financieel toezicht van toepassing is, dienen ingevolge het eerste lid van dat artikel hun bedrijfsvoering zodanig in te richten dat deze een beheerste en integere bedrijfsuitoefening waarborgt.
In het tweede lid van dat artikel, aanhef en onderdeel a, is bepaald dat bij of krachtens algemene maatregel van bestuur regels worden gesteld met betrekking tot bedoeld eerste lid wat betreft het beheersen van bedrijfsprocessen en bedrijfsrisico's.
Ter uitvoering daarvan is in artikel 20, tweede lid van het Besluit prudentiële regels (Bpr) bepaald dat een financiële onderneming - daaronder verstaan ene betaalinstelling, clearinginstelling, entiteit voor risico-acceptatie, kredietinstelling, premiepensioeninstelling, verzekeraar of bijkantoor als bedoeld in artikel 17 Bpr - beschikt over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
Pensioenfondsen en beroepspensioenfondsen waarop artikel 143 van de Pensioenwet onderscheidenlijk artikel 138 van de Wet verplichte beroepspensioenregeling van toepassing is, dienen ingevolge het eerste lid van die beide artikelen hun organisatie zodanig in te richten dat deze een beheerste en integere bedrijfsvoering waarborgt. In het tweede lid van deze artikelen, aanhef en onderdeel a, is bepaald dat bij of krachtens algemene maatregel van bestuur regels worden gesteld met betrekking tot het eerste lid van die artikelen wat betreft het beheersen van bedrijfsprocessen en bedrijfsrisico's.
Van een nadere uitwerking van het vereiste van een beheerste en integere bedrijfsvoering in regels met betrekking tot het beheersen van bedrijfsprocessen en bedrijfsrisico's overeenkomstig het bepaalde in artikel 20, tweede lid Bpr, is voor pensioenfondsen en beroepspensioenfondsen geen sprake, anders dan dat zij beschikken over goede administratieve en boekhoudkundige procedures en adequate interne controlemechanismen en beleid ten aanzien van de beheersing van de te lopen risico's (artikel 18 van het Besluit financieel toetsingskader pensioenfondsen).
Dit laat onverlet dat DNB van oordeel is dat de overeenkomstige toepasselijkheid voor deze (beroeps)pensioenfondsen van de algemene norm inzake een zodanige organisatie-inrichting dat deze een beheerste en integere bedrijfsvoering waarborgt, met zich brengt dat ook deze instellingen voor zover van toepassing – dat wil zeggen proportioneel toegepast - dienen te beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevens te waarborgen.
Contact
Contactpersonen voor dit onderzoek zijn Jacco Jacobs (j.jacobs@dnb.nl ) en Derek Dijst (d.s.dijst@dnb.nl).