Beheersing cyberrisico's door banken moet beter

Cyber Security via Pixabay 2

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen van en voorbereiden op een cyberaanval en de toegenomen cyberdreiging bij uitbesteding.

DNB: “Op basis van onze toezichtactiviteiten zien we helaas dat de volwassenheid van de basis cyberhygiëne-maatregelen binnen banken en betaalinstellingen niet toeneemt, maar gelijk blijft of in sommige gevallen zelfs afneemt. Voor banken en betaalinstellingen is het tijdig updaten en patchen van systemen van belang om impact op de ICT-dienstverlening tot een minimum te beperken. We zien echter ook dat een groot aantal banken en betaalinstellingen langer dan twee weken nodig heeft om deze te implementeren nadat deze zijn uitgebracht.

“Het tweede proces waar we veelvuldig tekortkomingen zien is Identity & Access Management (IAM). De volwassenheid is vaak nog onvoldoende en met enige regelmaat zien we dat de IAM-beheersmaatregelen nog niet effectief zijn geïmplementeerd.

“Tot slot zien we nog te vaak dat kritische processen draaien op (bijna) End-Of-Life (EOL) systemen. Het risico wordt nog groter wanneer de betreffende EOL-systemen verbonden zijn met het internet.

“Om zo goed mogelijk voorbereid te zijn op cyberaanvallen moeten banken en betaalinstellingen hun meest kritische systemen tenminste jaarlijks testen op beveiliging. In onze onderzoeken zien we dit onder andere terug doordat bijna alle banken en betaalinstellingen beveiligingstesten uitvoeren, zoals bijvoorbeeld red teaming, penetratietesten of beveiligingsscans. Alleen zijn deze testen relatief beperkt in frequentie en niet alle systemen worden getest. Op dit gebied zien we dus ruimte voor verbetering.

“We zien geen toename in de volwassenheid van de beheersing van risico’s rondom uitbesteding. Het risico stijgt maar de risicobeheersing stijgt niet evenredig mee. Het is van belang dat een instelling inzicht heeft in de onderlinge afhankelijkheden en dat er expliciete en formele afspraken over informatiebeveiliging in de keten zijn vastgelegd die periodiek worden getoetst.”

Reactie toevoegen

Rijksoverheid lanceert de ‘Phishkraam’

Het ministerie van Justitie en Veiligheid introduceert de Phishkraam, waar iedereen kan ervaren hoe cybercriminelen te werk gaan en op welke signalen men moet letten. Op...

Systeemrisico’s financiële sector door digitale afhankelijkheid van niet-Europese IT-leveranciers

De financiële sector loopt een groeiend risico door zijn toenemende afhankelijkheid van een klein aantal niet-Europese IT-leveranciers. Dat stellen de Autoriteit...

Aon: cyber en bedrijfsstilstand topzorgen bedrijfsleven

Bedrijven hebben de grootste zorgen over cyberrisico's en bedrijfsstilstand, terwijl geopolitieke dreigingen in rap tempo terrein winnen. Dit blijkt uit de tiende...

Cybercrime: mkb kan zichzelf beter wapenen

Bijna de helft van de Nederlanders maakt zich privé geen of weinig zorgen over digitale veiligheid. Tegelijkertijd had in de afgelopen twaalf maanden bijna...

Interpolis pleit voor Cyberhulpverlener in bedrijven

GripOpCyber gaat verder dan preventie en maakt mkb-bedrijven weerbaarder tegen cyberaanvallen. Aldus Interpolis bij de lancering van de dienst 'GripOpCyber'. Speerpunten...

Mogelijk ook Nederlandse verzekeraars in vizier Scattered Spider

Ook Nederlandse verzekeraars lopen risico te worden gehackt door Scattered Spider, een cybercrime-groep die haar giftige pijlen inmiddels ook richt op verzekeraars....

Cyberweerbaarheid is onderwerp voor bestuurskamer geworden

Cyberweerbaarheid is een onderwerp voor de bestuurskamer geworden, stelt Aon. “Vanuit financieel en strategisch perspectief is risicobeperking en -beheersing...

Meeste cyberschade door financiële verliezen, gegevensverlies en operationele verstoringen

Eén op de vijf Nederlandse bedrijven leed in 2024 schade als gevolg van een cyberaanval. Bij grote bedrijven geldt dat zelfs voor drie op de tien ondernemingen....

Meer mensen slachtoffer van online criminaliteit in 2024

In 2024 gaven 2,4 miljoen mensen van vijftien jaar of ouder aan in de afgelopen twaalf maanden slachtoffer te zijn geweest van een of meer vormen van online criminaliteit....

Kleine bedrijven minder alert op cyberrisico's

Het aantal kleinere mkb-bedrijven (<10 medewerkers) dat geen enkele maatregel tegen cyberrisico's lijkt te nemen, is toegenomen naar een derde van de populatie....

Events

VVP Kennisevent Pensioen & Vermogen

11 februari 2026 - 11 februari 2026

Lees meer

Quote van de dag

‘Social smoking’ voelt misschien onschuldig, maar de lichamelijke effecten zijn dat niet.

Dazure in een mailing over wat ‘social smoking’ betekent voor risico’s en premie

Stelling

Terecht dat aflossingsvrije hypotheek verder aan banden wordt gelegd

Laatste reacties

VVP 4-2025

De advieskansen in 2026 staan centraal in VVP 4-2025. Kunstmatige intelligentie (AI) is volgens adviseurs een kans om de efficiency te vergroten, maar de grootste advieskans is en blijft het persoonlijke contact met de klant. In het katern 'Advieskansen 2026' wordt dit zonder uitzondering benadrukt door adviseurs en hun organisaties. Maria Silveira, directeur SEH: "Waar techniek processen versnelt, ontstaat ruimte voor wat advies onderscheidt: vakmanschap, nieuwsgierigheid en het vermogen om oprechte gesprekken te voeren over geld, risico's en toekomst."

Verder in deze VVP onder meer een verslag van de bruisende uitreiking van de VVP Advies Awards 2025, Jack Vos (Onesurance) over innovatie ('Van concurrentie naar verbinden') en de laatste aflevering van de rubriek 'Het vuur van...', met André van Luijk ('Vertrouwen en gemeenschap terugbrengen in samenleving').

Uiteraard ontbreken de vakartikelen ter ondersteuning van de adviespraktijk niet.