Werken aan digitale weerbaarheid

Ken je vak ADFIZ

(Adfiz in Ken je vak! in VVP 6) We worden steeds afhankelijker van digitale processen en het aantal en de impact van cyberaanvallen blijft fors toenemen. Om de digitale weerbaarheid van ondernemingen in de financiële sector te vergroten, werkt Europa aan nieuwe wetgeving (DORA). Maar al in 2019 publiceerde AFM elf Principes voor Informatiebeveiliging die onverminderd blijven gelden.

Met de Principes voor Informatiebeveiliging geeft de toezichthouder aan wat hij op basis van de geldende regelgeving verwacht van financiële ondernemingen op het gebied van informatiebeveiliging. De principes geven handvatten voor de inrichting van de bedrijfsorganisatie en gaan onder meer over de beveiliging tegen cyberrisico’s, beveiliging van persoonsgegevens en het in controle zijn bij uitbesteding van processen en systemen.

Principes 1 tot en met 3: beleid, governance, identificeren van dreigingen en beoordelen van risico’s

Om een goed informatiebeveiligingsbeleid voor je onderneming op te stellen, moet je eerst in kaart brengen welke dreigingen voor jouw onderneming van toepassing zijn. Dat betekent dus dat je de principes voor informatiebeveiliging proportioneel mag toepassen naar aard van de dienstverlening en omvang van de onderneming (iets wat de AFM ook in het feedbackstatement heeft aangegeven). Als je de interne en externe risico’s, dreigingen, potentiele impact en de risicobereidheid inzichtelijk hebt gemaakt, stel je beleid op waarmee je de informatiebeveiliging waarborgt. Ook leg je duidelijk vast wie binnen je onderneming waarvoor verantwoordelijk is.

Principes 4 tot en met 8: mensen en cultuur, technologie, processen, fysieke beveiliging, data

Deze principes gaan over de maatregelen die je moet treffen om te zorgen dat het door jou opgestelde informatiebeveiligingsbeleid ook daadwerkelijk kan worden nageleefd. Dit betekent dat je je bedrijfsprocessen zo inricht dat: verwerkte en geproduceerde data goed beveiligd is en blijft; je medewerkers goed op de hoogte zijn van het informatiebeveiligingsbeleid, wat de risico’s zijn en wat er van hen zelf verwacht wordt; je niet alleen technische en procedurele maatregelen treft om de toegang tot je pand, apparatuur en informatie te beschermen, maar ook fysieke.

‘Principes informatiebeveiliging mogen proportioneel toegepast’

Principe 9 respons en herstel

Hoe goed je je informatiebeveiligingsbeleid ook op orde hebt, een ongeluk schuilt in een klein hoekje. Daarom is het belangrijk dat je voorbereid bent op incidenten, zodat je snel en goed kunt reageren op een incident en de impact ervan kunt beperken.

Principes 10 en 11 uitbesteding, ketenperspectief

Omdat je met andere organisaties samenwerkt ben je er nog niet als je binnen je eigen onderneming alles op orde hebt. Kijk daarom niet alleen naar de eigen onderneming, maar ook daarbuiten. Bijvoorbeeld naar verzekeraars en volmachten waarmee je data deelt en naar partijen, zoals serviceproviders en ICT-dienstverleners maar ook bijvoorbeeld een verzendhuis, waaraan je bepaalde activiteiten hebt uitbesteed.

Dit artikel is het eerste in een serie publicaties over digitale weerbaarheid in de financiële sector waarover we de komende maanden zullen publiceren.

Reactie toevoegen

 
Praktijksessies innovatie-event 5 juli nader belicht (deel 1)

Praktijksessies innovatie-event 5 juli nader belicht (deel 1)

Het VVP Innovatie Platform (VIP) organiseert op 5 juli samen met de Stichting Contactgroep Automatisering het VIP-Event Be the change!, het grootste Fin- &...

Opname bedrag ineens niet zonder risico’s

Opname bedrag ineens niet zonder risico’s

(Adfiz in Ken je vak! VVP 02-2022) Aan het gebruik van het keuzerecht (pensioenbedrag ineens) worden voorwaarden gesteld. Er gelden strakke eisen voor de informatievoorziening...

Adfiz: "Voorgenomen transparantieregels nutteloos voor het keuzeproces"

Adfiz: "Voorgenomen transparantieregels nutteloos voor het keuzeproces"

Nutteloos voor het keuzeproces, schadelijk voor de dienstverlening, praktisch onuitvoerbaar en juridisch onhoudbaar. Zo omschrijft Adfiz in het jaarverslag 2021...

Kijken naar het specifieke risico

Kijken naar het specifieke risico

(Ludger de Bruijn, Adfiz, in katern Nieuwe Risico's in VVP 02-2022) Voldoende mogelijkheden voor maatwerk zijn cruciaal bij de verzekering van nieuwe risico’s....

"Maak financieel advies voor begeleiding op de pensioendatum fiscaal aftrekbaar"

"Maak financieel advies voor begeleiding op de pensioendatum fiscaal aftrekbaar"

Regel de verplichte keuzebegeleiding niet per pensioenuitvoerder maar via ‘Mijnpensioenoverzicht.nl’. Schrap de duiding ‘passend’ bij keuzebegeleiding....

Eerste Adfiz Midjaarsbijeenkomst bij museum Singer Laren

Eerste Adfiz Midjaarsbijeenkomst bij museum Singer Laren

Adfiz organiseert op 8 juni de eerste Adfiz Midjaarsbijeenkomst. Een zomers netwerkevenement waar de gehele branche - Adfiz-leden, vertegenwoordigers van verzekeraars,...

Merendeel adviseurs nog op startniveau actief klantbeheer

Merendeel adviseurs nog op startniveau actief klantbeheer

(Uit VVP 2-2022) Branche-initiatief Actief Klantbeheer heeft de resultaten gepubliceerd van haar onderzoek naar de staat van actief klantbeheer onder onafhankelijk...

Hoe wint de klant door consolidatie?

Hoe wint de klant door consolidatie?

(Enno Wiertsema, Adfiz, in VVP-Special Fusies & Overnames 2022) Er is al jaren een sterke dynamiek als het gaat om overnames in de markt van advieskantoren....

Brancheonderzoek Actief Klantbeheer: merendeel advieskantoren op startniveau

Brancheonderzoek Actief Klantbeheer: merendeel advieskantoren op startniveau

Ruim vier op de tien advieskantoren bevindt zich op niveau 1 als het gaat om Actief Klantbeheer. Deze kantoren geven incidenteel uitvoering aan actief klantbeheer....

Afschaffing collectiviteitskorting basisverzekering kwestie van tijd

Afschaffing collectiviteitskorting basisverzekering kwestie van tijd

Een meerderheid van de Tweede Kamer lijkt voorstander te zijn van de afschaffing van de collectiviteitskorting basisverzekering, zo bleek uit het debat in de Tweede...