Werken aan digitale weerbaarheid
(Adfiz in Ken je vak! in VVP 6) We worden steeds afhankelijker van digitale processen en het aantal en de impact van cyberaanvallen blijft fors toenemen. Om de digitale weerbaarheid van ondernemingen in de financiële sector te vergroten, werkt Europa aan nieuwe wetgeving (DORA). Maar al in 2019 publiceerde AFM elf Principes voor Informatiebeveiliging die onverminderd blijven gelden.
Met de Principes voor Informatiebeveiliging geeft de toezichthouder aan wat hij op basis van de geldende regelgeving verwacht van financiële ondernemingen op het gebied van informatiebeveiliging. De principes geven handvatten voor de inrichting van de bedrijfsorganisatie en gaan onder meer over de beveiliging tegen cyberrisico’s, beveiliging van persoonsgegevens en het in controle zijn bij uitbesteding van processen en systemen.
Principes 1 tot en met 3: beleid, governance, identificeren van dreigingen en beoordelen van risico’s
Om een goed informatiebeveiligingsbeleid voor je onderneming op te stellen, moet je eerst in kaart brengen welke dreigingen voor jouw onderneming van toepassing zijn. Dat betekent dus dat je de principes voor informatiebeveiliging proportioneel mag toepassen naar aard van de dienstverlening en omvang van de onderneming (iets wat de AFM ook in het feedbackstatement heeft aangegeven). Als je de interne en externe risico’s, dreigingen, potentiele impact en de risicobereidheid inzichtelijk hebt gemaakt, stel je beleid op waarmee je de informatiebeveiliging waarborgt. Ook leg je duidelijk vast wie binnen je onderneming waarvoor verantwoordelijk is.
Principes 4 tot en met 8: mensen en cultuur, technologie, processen, fysieke beveiliging, data
Deze principes gaan over de maatregelen die je moet treffen om te zorgen dat het door jou opgestelde informatiebeveiligingsbeleid ook daadwerkelijk kan worden nageleefd. Dit betekent dat je je bedrijfsprocessen zo inricht dat: verwerkte en geproduceerde data goed beveiligd is en blijft; je medewerkers goed op de hoogte zijn van het informatiebeveiligingsbeleid, wat de risico’s zijn en wat er van hen zelf verwacht wordt; je niet alleen technische en procedurele maatregelen treft om de toegang tot je pand, apparatuur en informatie te beschermen, maar ook fysieke.
‘Principes informatiebeveiliging mogen proportioneel toegepast’
Principe 9 respons en herstel
Hoe goed je je informatiebeveiligingsbeleid ook op orde hebt, een ongeluk schuilt in een klein hoekje. Daarom is het belangrijk dat je voorbereid bent op incidenten, zodat je snel en goed kunt reageren op een incident en de impact ervan kunt beperken.
Principes 10 en 11 uitbesteding, ketenperspectief
Omdat je met andere organisaties samenwerkt ben je er nog niet als je binnen je eigen onderneming alles op orde hebt. Kijk daarom niet alleen naar de eigen onderneming, maar ook daarbuiten. Bijvoorbeeld naar verzekeraars en volmachten waarmee je data deelt en naar partijen, zoals serviceproviders en ICT-dienstverleners maar ook bijvoorbeeld een verzendhuis, waaraan je bepaalde activiteiten hebt uitbesteed.
Dit artikel is het eerste in een serie publicaties over digitale weerbaarheid in de financiële sector waarover we de komende maanden zullen publiceren.
Reactie toevoegen
Praktijkvoorbeelden business innovation
(Uit VVP-special Business Innovation 2024) Het Adfiz Prestatie Onderzoek kent sinds een paar jaar een andere opzet. Nadrukkelijk wordt gezocht naar vernieuwende...
Wisselwerking tussen mens en machine
(Enno Wiertsema, directeur Adfiz, in VVP-special Business Innovation 2024) Het valt me op dat we tegenwoordig, als het woord innovatie valt, al snel de neiging...
Adfiz: "Iedereen financieel overzicht bieden"
In zijn maandcolumn roept Adfiz-directeur Enno Wiertsema op de koe bij de hoorns te pakken en gezamenlijk mensen te stimuleren naar hun financiële toekomst...
Ken je vak! AI en de grenzen van de AVG
(Christel van Bommel-Versluijs, adviseur Legal & Compliance bij BrandMR, in Ken je vak!, VVP 4-2024) De opkomst van kunstmatige intelligentie (AI) in de financiële...
Adfiz: niet reëel te denken dat actieve provisietransparantie tegen te houden was
"Ja", schrijft Adfiz-directeur Enno Wiertsema in zijn maandcloumn, "provisietransparantie is er na zeven jaar soebatten inderdaad gekomen. En nee, dat hebben we...
Rol adviseur in het zorgverzekeringsstelsel
(Adfiz in Ken je vak!, VVP 4-2024) Zorgverzekeringen worden vaak gezien als eenvoudige verzekeringsproducten. Maar het enorme polisaanbod en de impact die keuzes...
Adfiz ontwikkelt diensten- en communicatiepakket 'Financieel Fitte Werknemers'
Als onderdeel van het werkprogramma Duurzame Ontwikkeling heeft Adfiz het bureau Ecoridders gevraagd om voor leden een praktisch diensten- en communicatiepakket...
Adfiz publiceert positionpaper over sleutelrol adviseurs Nederlands zorgverzekeringsstelsel
De Commissie Zorg & Inkomen van Adfiz publiceert het 'Positionpaper Sleutelrol van de verzekeringsadviseur in het Nederlandse zorgverzekeringsstelsel'. Hierin...
Adfiz in Advies in Cijfers 2024-2025: adviesdrempels slechten
Op de website van Adfiz is de publicatie Advies in Cijfers 2024-2025 verschenen. Advies in Cijfers is een jaarlijkse publicatie van de adviseursorganisatie, waarin...
Antoon Bosma, oud-voorzitter NBvA, overleden
Op 26 augustus overleed Antoon Bosma, oud-voorzitter van de NBvA (later met de NVA opgegaan in Adfiz). Bosma is 83 jaar geworden. De crematieplechtigheid zal...