De Nederlandsche Bank heeft de Q&A en Good Practice Informatiebeveiliging 2023 geactualiseerd.
De Good Practice geeft financiële instellingen die onder toezicht staan van DNB actuele handvatten en beheersmaatregelen, waarmee zij kunnen voldoen aan de wettelijke bepalingen om de voortdurende beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van (geautomatiseerde) gegevensververwerking te waarborgen.
Wat de toezichthouder betreft was dit het logische moment om de update door te voeren. Zo wijst DNB naar de Europese Commissie, die inmiddels de Digital Operational Resilience Act voor de gehele Europese financiële sector heeft vastgesteld.
Daarnaast zouden uit toezichtonderzoeken, het TIBER programma en voorbeelden en verbeteringen in de Good Practice Informatiebeveiliging 2019/2020 tal van geleerde lessen getrokken kunnen worden die een update rechtvaardigen.
“Met deze actualisatie dragen we uit dat informatiebeveiliging en cybersecurity permanente aandacht behoeft”, schrijft DNB. “Deze aandacht is nodig op strategisch en bestuurlijk niveau en richt zich op de verbetering van de effectiviteit van de beheersmaatregelen, die past bij een voortdurend veranderend dreigingsbeeld waarmee instellingen worden geconfronteerd.”
De toezichthouder benadrukt dat dit onderwerp blijvende aandacht verdient aan de bestuurstafel en bij Raden van Commissarissen en intern toezicht. “Het op orde brengen en actueel houden van het juiste kennis- en opleidingsniveau aan de bestuurstafel is hierbij een belangrijk aandachtspunt. De Good Practice biedt handvatten om dit onderwerp verder vorm te geven.”
Belangrijkste aanpassingen
Hoewel de update dezelfde indeling als de vorige editie kent, wordt er inhoudelijk verder verdiept en aangescherpt. Hierdoor zou het beter passen bij de actuele, toenemende en veranderende cyberbedreigingen.
Zo heeft de toezichthouder onder andere meer aandacht voor de digitale operationele weerbaarheidsstrategie op de korte, midden en lange termijn, die uiteenzet hoe het Risk Management Framework moet worden uitgevoerd.
Daarnaast heeft DNB aandacht voor een risico-gebaseerde invulling per controle, waardoor financiële instellingen verdergaand maatwerk kunnen toepassen ten aanzien van de inrichting en implementatie van hun specifieke informatiebeveiligingsmaatregelen.
Met de geactualiseerde Good Practice Informatiebeveiliging 2023 stelt de toezichthouder de stap te bevorderen die instellingen moeten maken op het gebied van informatiebeveiliging en cybersecurity in de richting naar implementatie van de DORA per 17 januari 2025.
Hoewel de update dus een feit is, legt de toezichthouder uit dat vorige editie (2019/2020) nog altijd het uitgangspunt vormt voor zowel lopende onderzoeken als voor de uitvraag van sectorbrede analyses informatiebeveiligingen.
Voor DNB-onderzoeken, -uitvragen en andere toezichtactiviteiten op het gebied van informatiebeveiliging die starten na het tweede kwartaal van 2024 hanteert de toezichthouder in beginsel de Good Practice informatiebeveiliging 2023. Dit zal waar van toepassing nadrukkelijk in de aankondigingsbrief van het desbetreffende onderzoek of uitvraag worden vermeld.
De volledige Q&A en Good Practice Informatiebeveiliging 2023 zijn hier te vinden.