Tijdens de coronacrisis heeft digitalisering in het dagelijkse werk een enorme versnelling doorgemaakt. Daardoor is de afhankelijkheid van digitale processen in de financiële sector nog meer toegenomen, net zoals het aantal gerichte cyberaanvallen op financiële organisaties. Uit cijfers blijkt dat bijna 7 op de 10 ondernemers in Nederland al eens te maken heeft gehad met een cybersecurityincident, zoals een hack of een datalek. En dat aantal is nog steeds groeiende. Hetzelfde geldt voor de financiële schade die met dergelijke incidenten is gemoeid: per geval bedraagt deze inmiddels ongeveer 300.000 euro.

Wet- en regelgeving

Vanuit wet- en regelgeving is op het gebied van informatiebeveiliging (vooralsnog) alleen iets geregeld in de:

Wat vanuit de AVG de eisen zijn die aan je worden gesteld op het vlak van informatiebeveiliging, kun je teruglezen in ons kennisdossier Privacy. Daarbij zijn de volgende hoofdstukken belangrijk:

  • Stap 5 - beveiliging persoonsgegevens: je moet passende technische en organisatorische maatregelen treffen, die een beveiligingsniveau waarborgen dat afgestemd is op de risico’s van de gegevensverwerking.
  • Stap 8 – inschakelen verwerker: als je verwerkingsverantwoordelijke bent moet je een verwerkersovereenkomst sluiten, waarin ondermeer staat welke beveiligingsmaatregelen getroffen zijn.
  • Stap 10 – datalek: hoe reageer je in geval van een datalek en welke partijen moet je daarvan op de hoogte brengen?

De AFM verwacht van je dat je de wijze waarop jij omgaat met informatiebeveiliging en digitale weerbaarheid vastlegt in beleid, ernaar handelt en dat beleid up-to-date houdt. Om zorgvuldig om te gaan met informatiebeveiligingsrisico’s heeft de AFM 11 principes voor informatiebeveiliging opgesteld. Daarbij is het belangrijk om te weten dat je de informatiebeveiliging proportioneel mag toepassen naar aard van de dienstverlening en omvang van de onderneming (iets wat de AFM ook in het feedbackstatement heeft aangegeven).

De principes bieden je handvatten om te kunnen voldoen aan zaken die volgens de AFM belangrijk zijn voor de onderneming én voor de klant. Klanten moeten namelijk kunnen vertrouwen op passende dienstverlening. Bovendien moeten ondernemingen integer en vertrouwelijk met hun gegevens omgaan. Hoe je invulling geeft aan de principes bepaal je zelf (het wettelijke haakje voor de toezichthouder is Beheerste en integere bedrijfsvoering). Dit is onder meer afhankelijk van de omvang van de onderneming, het type dienstverlening en het soort product dat je aanbiedt. De principes vervangen de wettelijke vereisten niet.

Per 2023 (onder voorbehoud) geldt voor de financiële sector de Europese verordening DORA. Met DORA werkt Europa aan harmonisering van de versnipperde regels binnen de EU ten aanzien van digitale weerbaarheid. Zo worden in DORA eisen gesteld aan het IT-risicomanagement, IT-incidenten, periodieke weerbaarheidstesten en de beheersing van risico’s bij uitbesteding. Het uitgebreide wetgevingskader is niet van toepassing voor middelgrote, kleine en micro financiële ondernemingen. Omdat het gaat om een Europese verordening zijn de regels bij invoering direct in Nederland van toepassing.

Het Europese Parlement heeft inmiddels (medio november 2022) ingestemd met de DORA regelgeving. Daarmee wordt DORA van  toepassing (proportioneel) op ondernemingen die: 

  • meer dan 250 personen in dienst hebben en
  • een jaarlijkse omzet hebben van meer dan €50 miljoen of
  • een balanstotaal hebben van meer dan €43 miljoen.

Over DORA organiseerden we eind 2021 een Zakelijk Platform webinar i.s.m. de AFM en Michael Mackaaij. Dat webinar kun je via deze link terugkijken. De informatie op de site van de AFM over DORA is nog beperkt.

 

Aan de slag

Vanuit de Rijksoverheid zijn er heel wat instanties betrokken bij het digitaal weerbaarder maken van Nederland. In dit portaal wijzen we een praktische weg door de vele informatiedocumenten, checklisten en hulpmiddelen die beschikbaar worden gesteld om je eigen digitale weerbaarheid en informatiebeveiliging op het goede niveau te brengen. Per stap geven we aan hoe de AFM kijkt naar de benodigde maatregelen.

De meest makkelijke – en pragmatische – manier om met het opstellen van informatiebeveiligingsbeleid  aan de slag te gaan, is door:

  1. de risico’s op het gebied van informatiebeveiliging te inventariseren
  2. te bepalen welke maatregelen je wilt treffen om de risico’s te verkleinen/voorkomen
  3. afspraken te maken over wie verantwoordelijk is voor de informatiebeveiliging
  4. te zorgen dat bovenstaande geïmplementeerd wordt in de bedrijfsvoering
  5. dit alles schriftelijk vast te leggen (beleid opstellen)