Update Q&A en Good Practice Informatiebeveiliging: de belangrijkste wijzigingen

Waarom een update?

In toezichtonderzoeken en in het TIBER programma is DNB de afgelopen jaren veel goede voorbeelden van beheersmaatregelen tegengekomen waarmee risico’s op het gebied van informatiebeveiliging kunnen worden beheerst. Verder zijn vanuit de diverse financiële sectoren verschillende goede voorbeelden en verbeteringen in de Good Practice Informatiebeveiliging 2019/2020 aangedragen.

Daarnaast heeft de Europese Commissie de digital operational resilience act (DORA) voor de gehele Europese financiële sector vastgesteld. Deze verordening vervangt als ‘lex specialis’ bestaande regelgeving, en stelt wettelijke bepalingen om de cyberweerbaarheid van de financiële sector te verhogen.

Met deze actualisatie draagt DNB uit dat informatiebeveiliging en cybersecurity permanente aandacht behoeft. Deze aandacht is nodig op strategisch en bestuurlijk niveau en richt zich op de verbetering van de effectiviteit van de beheersmaatregelen, die past bij een voortdurend veranderend dreigingsbeeld waarmee instellingen worden geconfronteerd.

DNB benadrukt dat dit onderwerp blijvende aandacht verdient aan de bestuurstafel en bij Raden van Commissarissen en intern toezicht. Het op orde brengen en actueel houden van het juiste kennis- en opleidingsniveau aan de bestuurstafel is hierbij een belangrijk aandachtspunt. De Good Practice biedt handvatten om dit onderwerp verder vorm te geven. 

Belangrijkste wijzigingen

De Good Practice Informatiebeveiliging 2023 kent dezelfde indeling als de Good Practice Informatiebeveiliging 2019/2020’. Het is een verdere verdieping en aanscherping, die past bij toenemende en veranderende cyberdreigingen.

De belangrijkste wijzigingen in de Good Practice Informatiebeveiliging 2023 zijn:

1. Aandacht voor de digitale operationele weerbaarheidsstrategie op korte, midden en lange termijn die uiteenzet hoe het Risk Management Framework, met inbegrip van regie op derde partijen wordt uitgevoerd.

2. Aandacht voor een risico-gebaseerde invulling per control. Instellingen kunnen daardoor verdergaand maatwerk toepassen ten aanzien van de inrichting en implementatie van hun specifieke informatiebeveiligingsmaatregelen.

3. Aandacht voor het uitvoeren van een business impact analyse, om daarmee de blootstelling van de instelling aan ernstige bedrijfsonderbrekingen en de potentiële gevolgen daarvan te kunnen beoordelen.

4. Aandacht voor de gewenste rol van het bestuur bij het onderwerp informatiebeveiliging in zijn geheel; de rol is ook in een aantal controls explicieter benoemd.

5. Aandacht voor het ontwikkelen en bijhouden van kennis van het dagelijks bestuur, RvC, RvT en sleutelfunctiehouders, door het aantoonbaar volgen van op hen toegespitste trainingen, om de belangrijkste IT- en cyberrisico’s te begrijpen en te kunnen adresseren.

6. Aandacht voor kansen en risico’s die samenhangen met technologische ontwikkelingen zoals quantum computing en artificial intelligence.

Met de geactualiseerde Good Practice Informatiebeveiliging 2023 bevordert DNB dat instellingen op het gebied van informatiebeveiliging en cybersecurity een stap maken in de richting naar implementatie van DORA per 17 januari 2025. Het is aan de instellingen om zich goed voor te bereiden op DORA. In 2024 bepaalt DNB hoe deze Good Practice Informatiebeveiliging zich verhoudt tot de dan uitgewerkte DORA regelgeving.

Voor de op dit moment lopende onderzoeken en voor de uitvraag sectorbrede analyse informatiebeveiliging (SBA-IB) 2024 blijft de Good Practice informatiebeveiliging 2019/2020 het uitgangspunt. Voor DNB onderzoeken, uitvragen en andere toezichtactiviteiten op het gebied van informatiebeveiliging die starten na het tweede kwartaal van 2024 hanteert DNB in beginsel de Good Practice informatiebeveiliging 2023. Dit zal waar van toepassing nadrukkelijk in de aankondigingsbrief van het desbetreffende onderzoek of uitvraag worden vermeld.

De Q&A en Good Practice Informatiebeveiliging 2023 kunt u hier vinden.