Tijdens de coronacrisis heeft digitalisering in het dagelijkse werk een enorme versnelling doorgemaakt. Daardoor is de afhankelijkheid van digitale processen in de financiële sector nog meer toegenomen, net zoals het aantal gerichte cyberaanvallen op financiële organisaties. Uit cijfers blijkt dat bijna 7 op de 10 ondernemers in Nederland al eens te maken heeft gehad met een cybersecurityincident, zoals een hack of een datalek. En dat aantal is nog steeds groeiende. Hetzelfde geldt voor de financiële schade die met dergelijke incidenten is gemoeid: per geval bedraagt deze inmiddels ongeveer 300.000 euro.
Wet- en regelgeving
Vanuit wet- en regelgeving is op het gebied van informatiebeveiliging (vooralsnog) alleen iets geregeld in de:
Algemene Verordening Gegevensbescherming
Wat vanuit de AVG de eisen zijn die aan je worden gesteld op het vlak van informatiebeveiliging, kun je teruglezen in ons kennisportaal Privacy. Daarbij zijn de volgende hoofdstukken belangrijk:
- Stap 5 - beveiliging persoonsgegevens: je moet passende technische en organisatorische maatregelen treffen, die een beveiligingsniveau waarborgen dat afgestemd is op de risico’s van de gegevensverwerking.
- Stap 8 – inschakelen verwerker: als je verwerkingsverantwoordelijke bent moet je een verwerkersovereenkomst sluiten, waarin ondermeer staat welke beveiligingsmaatregelen getroffen zijn.
- Stap 10 – datalek: hoe reageer je in geval van een datalek en welke partijen moet je daarvan op de hoogte brengen?
Principes voor informatiebeveiliging
De AFM verwacht van je dat je de wijze waarop jij omgaat met informatiebeveiliging en digitale weerbaarheid vastlegt in beleid, ernaar handelt en dat beleid up-to-date houdt. Om zorgvuldig om te gaan met informatiebeveiligingsrisico’s heeft de AFM 11 principes voor informatiebeveiliging opgesteld. Daarbij is het belangrijk om te weten dat je de informatiebeveiliging proportioneel mag toepassen naar aard van de dienstverlening en omvang van de onderneming (iets wat de AFM ook in het feedbackstatement heeft aangegeven).
De principes bieden je handvatten om te kunnen voldoen aan zaken die volgens de AFM belangrijk zijn voor de onderneming én voor de klant. Klanten moeten namelijk kunnen vertrouwen op passende dienstverlening. Bovendien moeten ondernemingen integer en vertrouwelijk met hun gegevens omgaan. Hoe je invulling geeft aan de principes bepaal je zelf (het wettelijke haakje voor de toezichthouder is Beheerste en integere bedrijfsvoering). Dit is onder meer afhankelijk van de omvang van de onderneming, het type dienstverlening en het soort product dat je aanbiedt. De principes vervangen de wettelijke vereisten niet.
DORA
Per 2023 (onder voorbehoud) geldt voor de financiële sector de Europese verordening DORA. Met DORA werkt Europa aan harmonisering van de versnipperde regels binnen de EU ten aanzien van digitale weerbaarheid. Zo worden in DORA eisen gesteld aan het IT-risicomanagement, IT-incidenten, periodieke weerbaarheidstesten en de beheersing van risico’s bij uitbesteding. Het uitgebreide wetgevingskader is niet van toepassing voor middelgrote, kleine en micro financiële ondernemingen. Omdat het gaat om een Europese verordening zijn de regels bij invoering direct in Nederland van toepassing.
Het Europese Parlement heeft inmiddels (medio november 2022) ingestemd met de DORA regelgeving. Daarmee wordt DORA van toepassing op ondernemingen die:
- meer dan 250 FTE in dienst hebben
- ondernemingen die minder dan 250 FTE in dienst hebben, maar wel een jaarlijkse omzet hebben van meer dan €50 miljoen en/of een balanstotaal van meer dan €43 miljoen.
Over DORA organiseerden we eind 2021 een Zakelijk Platform webinar i.s.m. de AFM en Michael Mackaaij. Dat webinar kun je via deze link terugkijken. Op de site van de AFM vind je meer informatie en updates met uitleg over de regelgeving.
Aan de slag
Vanuit de Rijksoverheid zijn er heel wat instanties betrokken bij het digitaal weerbaarder maken van Nederland. In dit portaal wijzen we een praktische weg door de vele informatiedocumenten, checklisten en hulpmiddelen die beschikbaar worden gesteld om je eigen digitale weerbaarheid en informatiebeveiliging op het goede niveau te brengen. Per stap geven we aan hoe de AFM kijkt naar de benodigde maatregelen.
De meest makkelijke – en pragmatische – manier om met het opstellen van informatiebeveiligingsbeleid aan de slag te gaan, is door:
Stap 1: Risico's inventariseren
Bij het in kaart brengen van welke dreigingen voor jouw onderneming van toepassing zijn is het goed om je te realiseren dat de dreiging zowel vanuit interne (nalatigheid medewerker) als externe (verwerker, toeleverancier) hoek kan komen en zowel digitaal (hack, ransomware) als fysiek (ongeautoriseerde toegang computersystemen op werkvloer, natuurrampen, stroomuitval) van aard kan zijn. Vergeet bij het inventariseren van mogelijke risico’s op het gebied van informatiebeveiliging vooral ook niet om jezelf (en je collega’s) de vraag te stellen: met welke risico’s hebben we in het verleden al te maken gehad?
Wat zegt de AFM hierover?
- De frequentie en diepgang van de risicobeoordeling mag je afstemmen op jouw situatie, zodat het past bij de omvang en complexiteit van je onderneming en de kenmerken van de informatie en data die je verwerkt.
- In je risicobeoordeling weeg je de belangen mee van de eigen onderneming en de belangen van je stakeholders, zoals van je klanten en van de sector waarin je werkzaam bent.
- Periodiek actualiseer je je risicobeoordeling op basis van inzicht in de voor jouw onderneming relevante dreigingen op het gebied van informatiebeveiliging.
Aan de slag
- Om de risico’s te inventariseren is een analyse van je bedrijf noodzakelijk zodat je antwoord kunt geven op concrete vragen als:
- Welke afdelingen en personen werken met vertrouwelijke gegevens?
- Hoe wordt hiermee omgesprongen?
- Hoe zijn ze beveiligd?
- Wat zijn risicogebieden binnen het bedrijf?
- Digital Trust Center heeft een basisscan Cyberweerbaarheid waarin je aan de hand van 25 stellingen erachter komt hoe jouw onderneming scoort op het gebied van veilig digitaal ondernemen. Na het invullen van de scan ontvang je een rapport, waarin per basisprincipe wordt weergegeven in hoeverre je de basis op orde hebt.
- Cyber Security Raad biedt met de Cybersecurity Health Check een aanvullend hulpmiddel om inzicht te krijgen in de staat van cyberweerbaarheid van de organisatie. Deze check kijkt behalve naar beveiliging ook naar de identificatie van risico’s, de detectie van dreigingen, de reactie op aanvallen en het herstel van schade.
Stap 2: Maatregelen treffen
Als inzichtelijk is welke risico’s je onderneming loopt op het gebied van informatiebeveiliging, wordt vanzelf ook duidelijk óf je al maatregelen hebt getroffen en zo ja, welke maatregelen dat dan zijn.
- Beoordeel of de door jou getroffen maatregelen voldoende zijn.
- Bepaal welke aanvullende maatregelen nodig zijn.
- Evalueer en test periodiek de effectiviteit van de getroffen maatregelen, ook in combinatie met de overige informatiebeveiligingsmaatregelen die zijn getroffen.
De maatregelen voor informatiebeveiliging zijn onder te verdelen in 4 gebieden:
Technisch
Inventariseer welke technische maatregelen je hebt getroffen om ervoor te zorgen dat verwerkte en geproduceerde data goed beveiligd is en blijft. Je kunt dan denken aan installeren van antivirussoftware, instellen van firewalls, encryptie van e-mails, direct installeren van updates, regelmatig wachtwoorden veranderen etc. Het Digital Trust Center heeft een checklist opgesteld met maatregelen die elke organisatie zou moeten treffen om cyberaanvallen tegen te gaan.
Wat zegt de AFM hierover?
- De AFM moedigt aan om internationale technologiestandaarden (zoals ISO27001 , COBIT, CPMI-IOSCO en NIST) te gebruiken om informatiebeveiliging in te bedden in het ontwerp van de IT-architectuur en systemen.
- Ook wijst de toezichthouder erop dat het belangrijk is om je ervan bewust te zijn dat het gebruik van nieuwe en/of verouderde technologie risico’s met zich meebrengt en dat je maatregelen hebt getroffen om deze risico’s te beperken.
Aan de slag
- Digital Trust Center heeft een Risicoklassenindeling voor digitale veiligheid ontwikkeld waarmee je binnen enkele minuten een inschatting krijgt van hoe groot het risico op een cyberincident binnen jouw onderneming is. Op basis van de uitkomst krijg je advies welke beveiligingsmaatregelen passend zijn voor jouw risicoprofiel. Zo kun je bepalen welke maatregelen er genomen moeten worden om je digitale veiligheid op orde te krijgen.
- Digital Trust Center heeft een uitgebreid portaal met meer informatie over deze maatregelen en diverse praktische hulpmiddelen.
Mens en Cultuur
Zeer bepalend voor een goede beheersing van informatiebeveiligingsrisico’s is de menselijke factor. Wees je daar goed bewust van en tref maatregelen om de kans te verkleinen dat zich een informatiebeveiligingsincident voordoet als gevolg van (onbewust of onverantwoord) menselijk handelen. Daarom is het belangrijk dat je een cultuur creëert en ondersteunt waarin medewerkers:
- zich bewust zijn van het risico op informatiebeveiligingsincidenten,
- hun rol hierin kennen, en
- hierover open communiceren.
Wat zegt de AFM hierover?
Draag het belang van informatiebeveiliging uit en maakt medewerkers bewust van de bestaande dreigingen.
Richt processen zo in dat mensen effectief kunnen bijdragen aan adequate informatiebeveiliging, bijvoorbeeld door bewustwordingsprogramma’s en trainingen.
Zorg ervoor dat meldingen over incidenten door medewerkers naar behoren worden behandeld.
Aan de slag
Het Digital Trust Center heeft een lijst samengesteld met concrete zaken die je kunt bespreken met je medewerkers.
Processen
Bedrijfsprocessen moeten zo zijn ingericht dat de beschikbaarheid, integriteit en vertrouwelijkheid van systemen in geval van een informatiebeveiligingsincident gewaarborgd blijft.
Wat zegt de AFM hierover?
De AFM moedigt aan om internationale geaccepteerde raamwerken (zoals MITRE ATT&CK) voor informatiebeveiliging te gebruiken.
Implementeer processen om informatiebeveiligingsrisico’s te identificeren en in lijn te brengen met het informatiebeveiligingsbeleid.
Implementeer processen om dreigingen te monitoren, incidenten te detecteren en hierop adequaat te reageren.
Aan de slag
Het Digital Trust Center deelt informatie over cyberdreigingen met het bedrijfsleven. Je kunt je gratis op die services abonneren.
In ons kennisportaal Privacy vind je een modelprocedure en -register voor Datalekken.
Fysiek
Je bedrijfsprocessen, technische maatregelen en aandacht voor de menselijke factor kan nog zo goed geregeld zijn, als de fysieke beveiliging van gebouwen en apparatuur niet op orde is, loop je nog steeds grote risico’s. Dat betekent dat je de beveiliging ervan moet afstemmen op de realistische dreigingen en dat de combinatie en zwaarte van de maatregelen zijn afgestemd op de hoogte van de risico’s en de mate waarin die beheerst moeten worden.
Wat zegt de AFM hierover?
Bepaal op basis van een analyse van de risico’s van externe factoren (zoals de kans op natuurrampen), menselijke factoren (zoals ongeautoriseerde toegang) en crisissituaties (als gevolg van bijvoorbeeld de uitval van elektriciteit)welke fysieke maatregelen getroffen moeten worden ter bescherming van faciliteiten en apparatuur.
Aan de slag
Het Instituut van Internal Auditors heeft een handreiking Fysieke beveiliging opgesteld waarmee je de doelmatigheid en doeltreffendheid van de fysieke beveiliging kan toetsen.
Stap 3. Afspraken te maken over wie verantwoordelijk is voor de informatiebeveiliging
De volgende stap is vastleggen wie verantwoordelijk is voor het treffen, uitvoeren en onderhouden van de maatregelen.
Wat zegt de AFM hierover?
- De invulling van de organisatiestructuur voor informatiebeveiliging mag je afstemmen op jouw situatie, zodat het past bij de omvang en complexiteit van je onderneming, de kenmerken van de informatie en data die je verwerkt en de beveiligingsrisico’s die daar bij horen.
- Het management van de onderneming is te allen tijde verantwoordelijk voor de informatiebeveiliging. Het management heeft de expertise om deze verantwoordelijkheid te nemen en is bekend met de belangrijkste informatiebeveiligingsrisico’s, dreigingen en incidenten binnen de onderneming.
- Voor in de uitvoering betrokken persoon (of personen) moet duidelijk zijn wat zijn taak is en wat zijn bevoegdheden zijn om daaraan te kunnen voldoen, en hij moet beschikken over voldoende deskundigheid en ervaring om de kwaliteit van risicobeoordelingen en de effectiviteit van de informatiebeveiligingsmaatregelen te kunnen borgen.
Aan de slag
- In ons kennisportaal Privacy vind je informatie over taken en verantwoordelijkheden van de Functionaris Gegevensbescherming
- De Cyber Security Raad heeft (voor grotere organisaties) een handreiking Cybersecurity voor de bestuurder opgesteld die inzicht geeft in hoe je cybersecurity kunt beleggen binnen de organisatie.
Uitbesteding
Heb je bepaalde (kritische) diensten en activiteiten uitbesteed, dan is het goed om te beseffen dat dit risico’s met zich meebrengt. Jij blijft namelijk verantwoordelijk voor de kwaliteit van uitbestede diensten en activiteiten.
Wat zegt de AFM hierover?
- Maak duidelijke afspraken over hoe jullie met incidenten omgaan, zodat direct actie kan worden ondernomen als er zich een incident voordoet.
- Je bent wettelijk verplicht incidenten te melden bij de AFM.
- Maak duidelijke afspraken over de verantwoordelijkheden en verplichtingen van beide partijen en leg deze schriftelijk vast.
- Analyseer de risico’s vóór het aangaan van een uitbesteding, maar ook gedurende de uitbesteding en neem de benodigde maatregelen om de risico’s tot een aanvaardbaar niveau terug te brengen.
Aan de slag
- In ons kennisportaal Privacy vind je informatie over het inschakelen van een verwerker. Je vindt daar ook een model verwerkersovereenkomst.
- De AFM heeft in 2020/2021 een verkennend onderzoek gedaan naar de praktijk van uitbesteding bij middelgrote en grote intermediairs. Op basis daarvan zijn good practices geformuleerd om risico’s met betrekking tot uitbesteding te verkleinen.
Stap 4. Te zorgen dat bovenstaande geïmplementeerd wordt in de bedrijfsvoering
Heb je de informatiebeveiligingsrisico's binnen je onderneming geïnventariseerd, de juiste maatregelen bepaald om ze te (helpen) voorkomen en verantwoordelijken aangewezen, dan is het zaak ervoor te zorgen dat de wijze waarop je met informatiebeveiliging wilt omgaan, wordt ingevoerd en nageleefd.
Aan de slag
- De in de vorige stap benoemde verantwoordelijken en het management spelen een grote rol bij de implementatie. Bij een goede implementatie kun je antwoorden geven op vragen als:
- Is de wijze waarop de onderneming omgaat met informatiebeveiliging bij alle medewerkers bekend?
- Hoe zorg je ervoor dat de maatregelen bekend zijn en goed worden toegepast?
- Weten medewerkers hoe ze moeten omgaan met informatiebeveiliging?
- Weten ze wie verantwoordelijk is voor het treffen, uitvoeren en onderhouden van welke maatregelen?
- Weten ze wie aanspreekpunt is bij een beveiligingsrisico?
- Hoe moeten beveiligingsrisico’s worden gemeld?
Stap 5. Dit alles schriftelijk vast te leggen (beleid opstellen)
Als duidelijk is hoe je je informatiebeveilingsbeleid wilt inrichten en welke keuzes je daarbij hebt gemaakt, dan is het belangrijk dit schriftelijk vast te leggen. Je beschrijft hierin hoe je met een samenhangend geheel van maatregelen, procedures en processen de informatiebeveiligingsrisico’s beheerst. Het informatiebeveiligingsbeleid hou je actueel door dreigingen en risico’s periodiek te evalueren.
Wat zegt de AFM hierover?
- In het informatiebeveiligingsbeleid beschrijf je de doelstellingen voor informatiebeveiliging en hoe je deze doelstellingen wilt behalen.
- Het beleid beschrijft de uitgangspunten, de IT-standaarden die worden gehanteerd en de verantwoordelijkheden, procedures en processen om informatiebeveiliging in te bedden in de onderneming.
- In het beleid staat ook hoe je de eisen bepaalt op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van IT-assets en processen, inclusief fysieke locaties en data. De specifieke maatregelen die volgen uit het informatiebeveiligingsbeleid zijn in lijn met deze eisen.
Aan de slag
- In de vorige stappen heb je bepaald hoe je je informatiebeveiligingsbeleid gaat vormgeven. Ook de overwegingen die daarbij speelden en de keuzes die je hebt gemaakt leg je schriftelijk vast. Dat is dan de schriftelijke vastlegging van je informatiebeveiligingsbeleid. Veranderen bepaalde zaken in de loop van de tijd, bijvoorbeeld omdat er binnen de onderneming iemand anders verantwoordelijk is geworden voor de informatiebeveiliging of omdat je met nieuwe risico’s te maken hebt, pas je informatiebeveiligingsbeleid daar dan op aan en leg ook dit weer schriftelijk vast. Zo zorg je ervoor dat je beleid altijd up-to-date is.