De EIOPA heeft nieuwe richtlijnen ingevoerd voor de beveiliging en het beheer van informatie- en communicatietechnologie voor (her)verzekeraars en pensioenfondsen. Welke impact hebben deze nieuwe richtlijnen op het risicomanagement binnen uw organisatie? En wat zijn de verschillen met de huidige, Nederlandse DNB Good Practice Informatiebeveiliging?
Geschreven door Maurice Koetsier
De digitale transformatie in de financiële sector is in volle gang. Informatie- en communicatietechnologie (ICT) wordt steeds belangrijker, in termen van klantbediening, kwaliteit en efficiency. ICT wordt ook steeds complexer; niet alleen het aantal ICT-gerelateerde incidenten, waaronder cyberincidenten, groeit, maar ook de impact daarvan. Daarom leggen financiële instellingen steeds meer nadruk op de beheersing van ICT-risico’s.
Diverse toezichthouders willen de weerbaarheid van financiële instellingen op het gebied van ICT- en cybersecurity vergroten. Om die reden hebben ze landelijke wet- en regelgeving ingevoerd, veelal in de vorm van circulaires en good practices. Op Europees niveau bestaan nu richtlijnen voor banken, verzekeraars en pensioenfondsen. Daarmee wordt de weg ingeslagen naar verdere centralisatie van het EU-toezicht op de financiële sector.
Eind 2019 heeft de European Banking Authority (EBA) de ‘Guidelines on ICT and security risk management’ gepubliceerd. In navolging daarop publiceerde de European Insurance and Occupational Pensions Authority (EIOPA) afgelopen najaar de nieuwe richtlijnen voor de beveiliging en het beheer van informatie- en communicatietechnologie. Inhoudelijk komen beide richtlijnen overeen, maar de richtlijnen van de EIOPA zijn specifiek van toepassing op (her)verzekeraars en pensioenfondsen.
De EIOPA-richtlijnen (die ingaan per 1 juli 2021) bieden (her)verzekeraars en pensioenfondsen meer handvatten voor de governance en beveiliging van ICT.
In Nederland hebben (her)verzekeraars en pensioenfondsen met de Good Practice Informatiebeveiliging (2019) vanuit de DNB al richtlijnen waaraan zij moeten voldoen.
1. ICT-strategie in lijn met de bedrijfsstrategie
De nieuwe EIOPA-richtlijnen schrijven voor dat u een gedocumenteerde ICT-strategie opstelt. Met als belangrijke eis dat deze strategie aansluit op en ondersteuning biedt aan de bedrijfsstrategie. Daarnaast dienen organisaties een proces in te richten om de effectiviteit van de geïmplementeerde ICT-strategie te monitoren en hierop te acteren. De DNB Good Practice IB vereist dat het ICT-risicoraamwerk is afgestemd op het algemene risicoraamwerk, maar schrijft niets voor op het gebied van ICT-strategie.
2. ICT-projectmanagement toegevoegd als onderwerp
Een nieuw onderwerp in de EIOPA-richtlijnen ten opzichte van de DNB Good Practice IB is het implementeren van een ICT-projectmethodologie. De ICT-projectmethodologie moet bijdragen aan een effectieve implementatie van de ICT-strategie. Daarnaast moeten organisaties projectrisico’s adequaat identificeren, monitoren en mitigeren.
3. Acquisitie ICT-systemen op basis van risicoanalyse
De DNB Good Practice IB besteedt bij beheersmaatregel 16.3 aandacht aan het monitoren van externe partijen. Organisaties moeten zich een oordeel vormen over de interne beheersingsmaatregelen bij hun dienstverleners en eventuele onderaannemers. De EIOPA-richtlijnen schrijven op dit onderwerp explicieter voor dat organisaties een risicogebaseerd proces inrichten waarin ze de aanschaf, ontwikkeling en het onderhoud van systemen opnemen. Dit proces is ook van toepassing op applicaties die de business (buiten ICT) ontwikkelt en beheert; zoals end-user computing-applicaties.
Bent u als (her)verzekeraar of pensioenfonds van plan nieuwe ICT-systemen aan te schaffen? Dan schrijven de EIOPA-richtlijnen voor dat u eerst functionele, non-functionele (waaronder informatiebeveiliging) en technische doelstellingen definieert.
4. Audit door specialisten
ICT en beveiligingsrisico’s beheersen, vereist een periodieke beoordeling. De EIOPA-richtlijnen schrijven expliciet voor dat dit onderwerp onderdeel is van uw auditplan, waarbij een auditor met voldoende kennis en ervaring op het gebied van ICT en beveiligingsrisico’s uw governance, systemen en processen op dat gebied beoordeelt. Dit is een belangrijke toevoeging ten opzichte van de DNB Good Practice IB, waarin deze eis niet expliciet is opgenomen.
DNB heeft aangekondigd de nieuwe EIOPA-richtlijnen vanaf volgend jaar in haar onderzoeken te betrekken. De verwachting is dan ook dat DNB de Good Practice op bovengenoemde onderwerpen zal actualiseren.
Alle onder toezicht staande (her)verzekeraars en pensioenfondsen moeten aan de nieuwe richtlijnen voldoen. Die eis kan voor met name de kleinere organisaties een uitdaging zijn. In de eerste plaats hebben zij veel onderdelen uitbesteed, waardoor ze aanvullende afspraken moeten maken. Bovendien zorgen de toevoegingen ervoor dat deze organisaties meer kennis en resources moeten aanwenden om adequaat op de richtlijnen te kunnen monitoren. Verder heeft deze verandering ook impact op IT-dienstverleners die in opdracht van financiële instellingen werken. Zij zullen ook aan de nieuwe eisen moeten voldoen.
Meer artikelen van BDO