DNB ziet operationele cyberweerbaarheid verzekeraars nog onvoldoende verbeteren

Uit onze sectorbrede analyse informatiebeveiliging 2023 onder Nederlandse verzekeraars komt naar voren dat de rol bij en expliciete kennis van bestuurders en (interne) toezichthouders voor een gedegen (IT) risk management meer aandacht behoeft. Het gaat daarbij onder meer om het vaststellen van een risk appetite op het gebied van cyberrisico’s en restrisico’s en het voortdurend evalueren en verbeteren van beheersmaatregelen op basis van een actueel dreigingsbeeld.

Uit de analyse komen drie belangrijke uitkomsten naar voren.

1) Business continuity maatregelen zijn onvoldoende getest

Uit onze analyse blijkt dat alle grote verzekeraars in Nederland gedegen aandacht besteden aan het inrichten en testen van hun business continuity maatregelen. Dit draagt bij aan de veerkracht van hun operationele bedrijfsvoering. Tegelijkertijd blijkt dat kleinere verzekeraars minder aandacht hebben voor business continuïteit en het testen van hun business continuity maatregelen achter blijft. Slechts één op de drie kleinere verzekeraars geeft aan dergelijke tests te hebben uitgevoerd in 2022.

DNB benadrukt het belang van een grondige voorbereiding op zowel operationele als (cyber)calamiteiten en verwacht dat alle verzekeraars hun maatregelen regelmatig testen. Bij het uitvoeren van testen is het van belang dat ook kritieke en belangrijke uitbestedingsrelaties worden betrokken. Die relaties zijn nu veelal geen onderdeel van de testen.

In 2024 zal DNB extra aandacht besteden aan de operationele (cyber)weerbaarheid van de sector. Daarbij zal DNB onder andere letten op:

  • De verankering van de rol en de expliciete kennis van bestuurders en (interne) toezichthouders zoals raad van commissarissen op het gebied van DORA, ICT-security en -governance;
  • Het zicht en de grip van verzekeraars op de beheersing van IT- en cyberrisico’s in hun uitbestedingsketens en het verkrijgen van toereikende assurance daarover. Een goed voorbeeld daarbij is het afleggen van verantwoording in de vorm van een jaarlijks IT-verslag / IT assurance rapportage;
  • Het betrekken van kritieke en belangrijke uitbestedingsrelaties in business continuity tests.

2) De implementatie van kritieke beveiligingspatches is verbeterd

Uit onze analyse blijkt dat verzekeraars meer aandacht besteden aan beheerst en versneld implementeren van kritieke beveiligingspatches ten opzichte van het voorgaande jaar. De gemiddelde implementatietijd is nu 6,3 dagen, een verbetering ten opzichte van de 7,7 dagen in het voorgaande jaar. DNB vraagt aandacht voor een snelle reactie door verzekeraars op potentiële beveiligingslekken in hun (uitbestede) IT-infrastructuur en IT-applicaties. Het verder versnellen van een beheerste implementatie van kritieke patches bij de instelling zelf, alsmede in de gehele uitbestedingsketen draagt hieraan bij. Uit diverse dreigingsbeelden komt naar voren dat juist direct na het uitkomen van een kritieke beveiligingspatch, het aantal (geslaagde) hacks toeneemt. De onderlinge verbondenheid van IT-systemen in uitbestedingsketens vergroot de kans op een geslaagde aanval of verstoring naarmate kwetsbaarheden langere tijd open staan.

3) Risk management is niet bij alle verzekeraars voldoende volwassen

Uit de sectorbrede analyse informatiebeveiliging 2023 komt verder naar voren dat de verankering van IT en cyberweerbaarheid in de gehele risicomanagement cyclus achterblijft.

Uit de analyse komt naar voren dat 41% van de verzekeraars onvoldoende kan aantonen dat hun Risk assessments volwassen zijn. Dat is een verslechtering ten opzichte van het voorgaande jaar (35%).

De aantoonbare volwassenheid van processen die opvolging geven aan risico-verbeterplannen is licht verbeterd: 41% van de verzekeraars geeft aan dat zij de volwassenheid onvoldoende kan aantonen. In het voorafgaande jaar was dat 43%.

Uit de analyse komt naar voren dat 37% van de verzekeraars een volwassen IT riskmanagement framework onvoldoende kan aantonen. In het voorgaande jaar was dat ook 37%.

DNB dringt bij de desbetreffende verzekeraars aan op aantoonbare beheersing van hun informatiebeveiligingsrisico’s.

Een overzicht van de uitgevraagde beheersmaatregelen.

*Een overzicht van de uitgevraagde beheersmaatregelen staat in de Good Practice Informatiebeveiliging 2019/2020.