LEES
Pensioenen Risk & Compliance

Het belang van Good Practice Informatiebeveiliging van De Nederlandsche Bank in DORA wetgeving

Datum:13 september 2023

In de moderne digitale wereld is informatiebeveiliging een cruciaal aspect geworden om de privacy en integriteit van gevoelige data te waarborgen. Met het oog op de voortschrijdende digitalisering van de financiële dienstverlening heeft De Nederlandsche Bank (DNB) een set van Information Security Good Practices ontwikkeld. Deze Goede Practices zijn ontworpen om de financiële sector te helpen effectieve maatregelen te implementeren om informatiebeveiligingsrisico's te beheren. In aanvulling op de Goede Practices heeft de Europese Unie de Digital Operational Resilience Act (DORA) geïntroduceerd, een uitgebreide wetgeving die in het leven is geroepen om de digitale weerbaarheid van de financiële sector te versterken.

In dit artikel bespreken we beide wetgevingskaders, de relatie tussen de DORA wetgeving en DNB's Information Security Good Practice, en hoe ze samen kunnen bijdragen aan een robuust ontwerp van informatiebeveiliging.

De DORA wetgeving

De DORA wetgeving is bedoeld om de veerkracht en veiligheid van financiële instellingen in het digitale tijdperk te versterken. De nadruk ligt op de continue beschikbaarheid, integriteit, vertrouwelijkheid en veerkracht van informatiesystemen. De wetgeving stelt eisen aan de interne processen en procedures van financiële instellingen, waaronder het opstellen van een gedocumenteerde operationele veerkrachtstrategie en het implementeren van effectieve beveiligingsmaatregelen. De wetgeving is vanaf januari 2023 van kracht, waarna organisaties twee jaar de tijd hebben om eraan te voldoen. Vanaf januari 2025 is de DORA wetgeving formeel van toepassing.

De DORA wetgeving is bedoeld om de veerkracht en veiligheid van financiële instellingen in het digitale tijdperk te versterken.

DNB's Good Practice Informatiebeveiliging

DNB's Information Security Good Practice is een set richtlijnen en aanbevelingen voor pensioenfondsen om een robuust informatiebeveiligingsbeleid te implementeren. Het richt zich op verschillende aspecten, waaronder risk management, medewerkers awareness, technische beveiligingsmaatregelen en reactie op incidenten. Het doel van de Good Practice is om financiële instellingen te helpen bij het identificeren, evalueren en beheren van informatiebeveiligingsrisico's, evenals het waarborgen van compliance met relevante wet- en regelgeving. DNB voert periodiek assessments uit bij pensioenfondsen om te bepalen in hoeverre zij voldoen aan Good Practice Informatiebeveiliging (het volwassenheidsniveau van de beheersmaatregelen). DNB verstrekt de benchmarkrapportage over de resultaten van deze assessments.

Het doel van Good Practice is om financiële instellingen te helpen bij het identificeren, evalueren en beheren van informatiebeveiligingsrisico's en om ervoor te zorgen dat compliance voldoet aan de relevante wet- en regelgeving.

Synergie tussen DORA en Good Practice Informatiebeveiliging

De DORA wetgeving en DNB's Good Practice Informatiebeveiliging vullen elkaar aan en dragen bij aan een veiliger financieel ecosysteem. DORA bevat basisvereisten waaraan financiële instellingen moeten voldoen, terwijl de Good Practice gedetailleerde richtlijnen geeft om deze vereisten te implementeren. Door de implementatie van Good Practice van DNB voldoen financiële instellingen in grote lijnen al aan de eisen van DORA.

Projective Groupvisie

Voor de uitvoering van diensten in de pensioensector verzamelen en verwerken de betrokken organisaties (veel) informatie. Door de steeds groeiende en verbonden digitale wereld is de beveiliging van deze informatie cruciaal. Meer richtlijnen en voorschriften voor informatiebeveiliging zijn een logisch gevolg. Organisaties worstelen met het aantrekken van kennishouders op dit gebied en het maken van investeringskeuzes om informatiebeveiliging goed en duurzaam te implementeren. Daarnaast is de vertaling van wet- en regelgeving naar de praktijk complex en vergt veel inspanning. Nauwe samenwerking waarbij de vertaling van wet- en regelgeving naar de praktijk een belangrijke succesfactor is om cyber resilience en security van pensioenfondsen en verzekeraars te realiseren.

Hoe ondersteunen we onze klanten en samenwerkingspartners?

Wij adviseren en ondersteunen onze klanten en samenwerkingspartners bij de implementatie van DNB's Informatiebeveiliging Good Practice en de DORA wetgeving. Dit doen we door organisaties te informeren of te trainen in de beschikbare richtlijnen en wettelijke kaders, deze kaders te vertalen naar een concrete aanpak zodat ze goed geïmplementeerd worden en ons te richten op synergie tussen compliance en nationale en internationale wet- en regelgeving. Tot slot ondersteunen we onze klanten bij het duurzaam borgen van informatiebeveiliging en het vergroten van de cyberweerbaarheid.

Door samen te werken met onze klanten zetten wij ons in voor de informatieveiligheid, eerlijkheid en toekomstbestendigheid van de Nederlandse pensioen- en verzekeringsmarkt. Wilt u meer informatie over de implementatie van deze wetgeving? Neem dan contact met ons op. Wij staan klaar om uw vragen te beantwoorden en u verder te helpen.

Over Projective Group

Projective Group is opgericht in 2006 en is een toonaangevende veranderspecialist voor de financiële sector. Met diepgaande expertise op practices in Data, Payments, Transformatie en Risk & Compliance.

We worden binnen de sector erkend als een provider van complete oplossingen, die samenwerkt met klanten in de financiële dienstverlening om oplossingen te bieden die zowel holistisch als pragmatisch zijn. We hebben ons ontwikkeld tot een betrouwbare partner voor bedrijven die willen gedijen en bloeien in een steeds veranderend landschap van financiële dienstverlening.