Direct naar inhoud

Ondanks verbetering is DNB nog niet tevreden over beheersing IT-risico’s — artikel bevat een betaalmuur

Dit artikel heeft een betaald toegangsblok, wat betekent dat je een deel van de inhoud pas kunt lezen als je bent ingelogd en een geldig abonnement hebt.

Geplaatst in genre: Geplaatst in sectie:
Geschreven door:
Gepubliceerd: 1 november 2023
Laat een reactie achter

Pensioenfondsen en hun uitvoerders besteden nog steeds onvoldoende aandacht aan IT-risico’s, aldus DNB. Een op de vijf kan niet aantonen dat de IT-risicobeheersing het gewenste niveau heeft.

FvA

Dit blijkt uit de jaarlijkse uitvraag onder pensioenfondsen en uitvoerders over hun IT-risicomanagement. De toezichthouder constateert wel verbeteringen, maar vindt dat de pensioensector meer aandacht moet besteden aan de beheersing van IT-risico’s.

DNB ziet pensioenfondsen vanwege de grote hoeveelheid deelnemersgegevens in hun administratie als een gewild doelwit van hackers die dreigen de IT-systemen plat te leggen of aan de haal gaan met de data. Deze hackers eisen vaak geld in ruil voor de garantie dat ze afzien van hun plannen.

Hoog percentage

DNB meldt dat de pensioensector er beter voor staat op het gebied van informatiebeveiliging dan een jaar geleden. Het percentage fondsen en uitvoerders dat onvoldoende scoorde op een aantal aandachtspunten is gedaald van royaal 30% naar 20% tot 26%. De toezichthouder vindt dit nog steeds een te hoog percentage.

DNB, die de afgelopen jaren regelmatig waarschuwde dat de pensioensector IT-risico’s onderschat, meldt op grond van de uitvraag drie punten waar pensioenuitvoerders mee aan de slag moeten.

Ten eerste stelt DNB dat het risicomanagement in de pensioensector bij pakweg 20% van de fondsen en uitvoerders niet het gewenste niveau heeft. IT- en cyberweerbaarheid zijn bij die partijen onvoldoende verankerd in de risicomanagementcyclus. Nog eens 20% kan niet aantonen dat het IT risicobeheersingsraamwerk voldoet aan de gestelde eisen. Hoeveel deelnemers dit raakt is niet helemaal duidelijk, omdat DNB niet de omvang van deze partijen vermeldt. Wel laat DNB weten dat het beeld gespreid is. Bij de fondsen die niet voldoen, zitten ook grotere fondsen.

Ten tweede besteden met name zelfadministrerende pensioenfondsen te weinig aandacht aan het testen van maatregelen die de bedrijfscontinuïteit moeten waarborgen. Circa 40% van de zelf-administrerende fondsen heeft zo’n test vorig jaar niet uitgevoerd. De pensioenuitvoeringsorganisaties hebben wel allemaal werk gemaakt van het inrichten en testen van deze maatregelen.

Aanvallen

Ten derde laten pensioenfondsen en hun uitvoerders steken vallen bij de installatie van beveiligingspatches, reparaties voor de programmatuur die aanvallen van hackers moeten voorkomen. Het duurt gemiddeld 3,5 dagen voordat zo’n patch is geïnstalleerd. Vorig jaar was dat nog 3,3 dagen. DNB verwacht dat instellingen dat sneller gaan doen, met name omdat hackers de introductie van een patch doorgaans aangrijpen voor het opschroeven van het aantal aanvallen.

Volgend jaar is DNB van plan extra te letten op de kennis van bestuurders over DORA, IT-beveiliging en -governance. Ook wil de toezichthouder zich verder verdiepen in beheersing van IT-risico’s in de uitbestedingsketens van pensioenfondsen en hun uitvoerders. Uit het onderzoek kwam naar voren dat die relaties zelden worden meegenomen bij het testen van de IT-risicobeheersing.

U moet ingelogd zijn en een geldig abonnement hebben om een reactie te plaatsen.