Bijna helft verzekeraars beheerst operationele risico's nog steeds onvoldoende

1. 2 december 2024
2. 0 reacties

DNB ziet dat, ondanks een lichte verbetering ten opzichte van vorig jaar, bijna de helft van de verzekeraars in Nederland in 2024 nog niet voldoet aan het door de toezichthouder verwachte niveau voor de beheersing van operationele risico’s.

Onder meer ziet DNB dat de beheersing van ICT- en uitbestedingsrisico’s verbetering behoeft. Verder ziet DNB dat het risicomanagement ten aanzien van datakwaliteit in de verzekeringssector een aandachtspunt is.

Dit blijkt uit onderzoeken, gesprekken en de sectorbrede uitvraag operationeel risicomanagement en informatiebeveiliging onder verzekeraars in 2024.

DNB: "Uit onze uitvragen en onderzoeken blijkt enerzijds dat een groot deel van de verzekeraars een volwassen ICT-risicomanagement proces volgt en dat ook kan aantonen. Anderzijds heeft een grote groep verzekeraars weliswaar een functionerend risicomanagement proces, maar zijn er op onderdelen tekortkomingen in de effectiviteit of aantoonbaarheid van dat proces, zie figuur 1. Bij deze laatste groep zien we dat instellingen maatregelen treffen om hun ICT-risico’s te beheersen en nagaan of die maatregelen werken, zonder dat zij regelmatig evalueren in hoeverre hun maatregelen nog passen bij veranderende (cyber)dreigingen. Ook nemen deze verzekeraars (oorzaken van) operationele verstoringen of incidenten niet altijd aantoonbaar mee in hun evaluaties van de effectiviteit van maatregelen. Dit kan ertoe leiden dat maatregelen van instellingen ongemerkt verouderen en uiteindelijk onvoldoende opgewassen blijken te zijn tegen snel veranderende (cyber)dreigingen."

Een aantal verzekeraars gebruikt kritieke IT-systemen die niet langer door leveranciers worden ondersteund. DNB: "Uit de sectorbrede uitvraag blijkt dat 23 procent van de verzekeraars in hun IT-landschap gebruikmaken van kritieke systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates (legacy systemen). Hierdoor kunnen bekende kwetsbaarheden onopgelost blijven. Dat kan leiden tot misbruik door een kwaadwillende met een bedreiging voor de integriteit, beschikbaarheid en beveiliging van gegevens van verzekeraars en hun klanten."

Datalekken

De helft van de verzekeraars gaf aan dat het proces rondom datamanagement op onderdelen onvoldoende volwassen is. Dit betreft name de opslag- en retentieregelingen en het voldoen aan de beveiligingseisen voor datamanagement. Onvolwassenheid in deze processen kan leiden tot inefficiënte dataopslag en datalekken, wat de noodzaak benadrukt voor adequate procedures en technische maatregelen.

DNB: "Het gebruik en beheer van (cryptografische) sleutels behoeft bij een aantal verzekeraars aanvullende aandacht. In de uitvraag gaf ongeveer een derde van de verzekeraars aan dat de processen rondom sleutelbeheer onvoldoende volwassen zijn. Om de integriteit, vertrouwelijkheid en authenticiteit van data nu en in de toekomst te waarborgen, mede gezien de ontwikkeling van quantum computing, is een gedegen sleutelbeheerproces van belang. Quantum computing kan de huidige cryptografische methoden ondermijnen, waardoor het van belang is om regelmatig risicoanalyses uit te voeren en een passend  sleutelbeheerproces te implementeren. Dit omvat het regelmatig veranderen van cryptografische sleutels en het toepassen van de nieuwste beveiligingsprotocollen."

Onveranderlijke back-ups zijn niet de sectorbrede standaard.

Uitbestedingsrisico's

Een groot aantal verzekeraars heeft onvoldoende zicht en grip op haar kritieke uitbestedingsketens.

Uit de uitvraag komt naar voren dat de verzekeraars ten opzichte van vorig jaar hun uitbestedingen beter monitoren qua prestaties en interne beheersing. Desalniettemin voldoet een groot aantal verzekeraars niet aan het gewenste niveau voor de beheersing van de uitbestedingsrisico’s.

Het belangrijkste aandachtspunt bij deze groep is dat er onvoldoende informatie is over de risicobeheersing van alle kritieke dienstverleners in de kritieke uitbestedingsketens.

Datakwaliteit

DNB constateert dat ten opzichte van vorig jaar meer verzekeraars beschikken over een datakwaliteitsbeleid, een gedocumenteerde risicobereidheid en rapportages over datakwaliteit. Desondanks heeft ongeveer 40 procent van de verzekeraars haar beheersing ten aanzien van datakwaliteit nog niet op orde.

Daarnaast constateert DNB dat bij ruim een kwart van de verzekeraars geen periodieke managementinformatie aanwezig is over datakwaliteit. Daar waar deze managementinformatie wel beschikbaar is, ontbreekt in veel gevallen informatie over datakwaliteit incidenten, worden de uitkomsten niet vergeleken met de risicobereidheid of ontbreekt een onafhankelijke opinie van de risicomanagement- en/of compliance functie.

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• ict
• datakwaliteit
• operationele risico's

Abonnement aanvragen