Fortinet: ‘Operationele veerkracht vereist passende cyberbeveiligingsmaatregelen’

18 december 2025 Banken.nl

Financiële organisaties hebben te maken met nieuwe regelgeving die als doel hebben om IT-risico’s beter te beheersen. DORA is hier een goed voorbeeld van, maar daar houdt het niet bij op. Bedrijven verwachten dat er nieuwe, aangescherpte richtlijnen zullen volgen. In 2025 verwacht 66% van de organisaties extra regelgeving in de komende vijf jaar, 26% verwacht dat nieuwe regelgevende maatregelen binnen een jaar gevolgen voor hen zullen hebben.

Dat de focus op het beheersen van IT-risico’s ligt, is niet voor niets. Denk bijvoorbeeld aan de hardwarefout in het Target 2-systeem van de Europese Centrale Bank. Dit leidde tot enkele uren vertraging bij de afwikkeling van betalingen, waardoor sommige klanten in de EU en de VS werden getroffen en tijdelijk meer dan 3 biljoen euro aan transacties werd beïnvloed.

Complexe onderlinge verbindingen

Digitalisering en toenemende onderlinge verbondenheid van de financiële sector zorgt ervoor dat er steeds meer aandacht is voor operationele veerkracht. De basis daarvan is goed beleid dat gericht is op de cyberrisico’s en het ICT-beheer van de sector. Voor financiële dienstverleners houdt het versterken van de operationele veerkracht onder meer in dat zij moeten vaststellen welke diensten het meest kwetsbaar zijn voor verstoringen. Vervolgens moeten zij bepalen hoeveel verstoring deze diensten kunnen verdragen voordat de stabiliteit in gevaar komt.

Een goede integratie van technologieën is eveneens van cruciaal belang. Banken moeten er bijvoorbeeld voor zorgen dat nieuwe mobiele apps en AI-tools goed worden geïntegreerd in hun bestaande legacy-systemen, zodat storingen in de interface niet leiden tot uitval van de dienstverlening.

De complexe onderlinge verbindingen van het huidige financiële ecosysteem – dat afhankelijk is van open banking, tokenisatie, aggregators en cloud-API’s – betekenen dat storingen op één gebied snel kunnen overslaan naar andere gebieden. Daarom is het van essentieel om de end-to-end beveiliging en veerkracht van systeeminterfaces te waarborgen. Organisaties moeten ervoor zorgen dat het vertrouwen van klanten niet wordt ondermijnd door zwakke punten waar ze geen directe invloed op hebben.

Continu monitoren en zwakke punten aanpakken

Het bijhouden van kritieke diensten vereist voortdurende monitoring, samen met robuuste mechanismen voor het meten van prestaties, incidenten en reacties. Er wordt verwacht dat financiële dienstverleners kunnen aantonen hoe ze verschillende potentiële verstoringen kunnen voorkomen of herstellen. Op basis van deze scenario-tests moeten ze vervolgens zorgen dat ze over de juiste processen en activiteiten beschikken om herstel mogelijk te maken.

Hiervoor moeten ze beschikken over de juiste strategieën en technologieën om datagestuurde beslissingen te nemen en die inzichten kunnen toepassen om de veerkracht te versterken. Ze moeten ook in staat zijn om op basis van die veerkrachtstatistieken betrouwbare rapportages en effectieve communicatie met belanghebbenden te leveren. Dit omvat alle vereiste rapportages aan toezichthouders.

Door de inzet van Cloud en AI-oplossingen kunnen financiële instellingen moderne digitale diensten mogelijk te maken die de benodigde veerkracht ondersteunen:

Cloud en hybride beveiligingsmaatregelen

Door gebruik te maken van de cloud kunnen bedrijven in de financiële sector een breed scala aan moderne diensten aanbieden met de flexibiliteit, beschikbaarheid en wendbaarheid die hun klanten verwachten. Maar het creëert ook verantwoordelijkheden voor gedeelde beveiliging. Cloudserviceproviders zijn doorgaans verantwoordelijk voor de beveiliging van hun systemen (de beveiliging van de cloud) terwijl hun klanten verantwoordelijkheid moeten nemen voor hoe ze die systemen gebruiken en hun gegevens beheren (beveiliging ín de cloud).

Dit betekent dat financiële dienstverleners passende cyberbeveiligingsmaatregelen moeten nemen en alert moeten blijven op mogelijke aanvallen en andere bedreigingen. Omdat veel organisaties in de sector ook nog steeds verouderde systemen gebruiken, zal de aandacht ook uitgaan naar hybride beveiligingsmaatregelen die zowel op lokale als cloud-infrastructuren werken.

Gevaren en voordelen van AI

Met de juiste AI-oplossingen kunnen financiële dienstverleners hun cyberbeveiliging in veel processen verbeteren. Maar let op, AI is een tweesnijdend zwaard. Tijdens een bijeenkomst van de Money Market Contact Group van de Europese Centrale Bank in juni 2025 bespraken de leden hoe het gebruik van de technologie in financiële dienstverlening nog niet volwassen is.

“Voor zover er voordelen zijn, merkten de leden op dat deze gepaard kunnen gaan met extra complexiteit en risico’s, waaronder verhoogde volatiliteit, ondoorzichtigheid en potentiële bedreigingen voor de systeemstabiliteit, die zorgvuldig beheer en aanpassing van de regelgeving kunnen vereisen.”

Voorspellende AI wordt al op grote schaal gebruikt om fraudedetectie te automatiseren. AI kan ook helpen om incidentbeheer te centraliseren, reacties op bedreigingen te automatiseren en snelle detectie en respons mogelijk te maken door middel van geavanceerde gedragsanalyses.

Nieuwere GenAI-technologieën zijn veelbelovend voor het verbeteren van klantinteracties en het verlagen van kosten. Ze hebben ook het potentieel om de identificatie en bestrijding van bedreigingen te versnellen, complexe vragen tijdens onderzoeken te ondersteunen en reacties op bedreigingen realtime aan te passen aan veranderende omstandigheden.

Conclusie

Het is belangrijk dat financiële organisaties een cultuur van veerkracht en aanpassingsvermogen cultiveren. Effectief risicobeheer door derden is cruciaal, net als het uitwisselen van dreigingsinformatie. Deelname aan het cyberincident-responsteam van de sector om de cyberbeveiligingsveerkracht van de sector te versterken en van anderen te leren, is essentieel.

Zelfs met beperkte budgetten voor cyberbeveiliging kunnen financiële dienstverleners hun toewijzing van financiële en personele middelen verbeteren. Dit kan door te vertrouwen op technologie en servicepartners met geavanceerde technologische mogelijkheden, waaronder automatisering en AI.

Een artikel van Ricardo Ferreira, EMEA Field CISO bij Fortinet.