DNB: Informatiebeveiliging verzekeraars verbeterd maar nog niet op gewenste niveau; ook beheersing risico’s uitbesteding onvoldoende

De informatiebeveiliging bij verzekeraars en pensioenfondsen is verbeterd, maar nog niet op het vereiste niveau, concludeert De Nederlandsche Bank (DNB).  Uit een ander onderzoek blijkt dat de risico’s van de uitbestedingen op onderdelen onvoldoende worden beheerst door veel verzekeraars.

In 2017 heeft DNB-onderzoek gedaan naar de beheersing van informatiebeveiliging (inclusief cyberrisico’s) van verzekeraars en pensioenfondsen. Het onderzoek is uitgevoerd bij een selectie van middelgrote en grote verzekeraars, en pensioenfondsen. Het onderzoek betrof primair de beoordeling van de self-assessment van de instelling onderbouwd met een dossier. DNB heeft het dossier per instelling beoordeeld en deelwaarnemingen uitgevoerd bij de desbetreffende instellingen op locatie.

Conclusies

DNB trekt uit de onderzoeken de volgende conclusies:

  • Pensioenfondsen en verzekeraars hebben hun informatiebeveiliging de afgelopen jaren op een hoger niveau gebracht. Op basis van de metingen vanaf 2010 ziet DNB dat instellingen – gemiddeld genomen – hun maatregelen beter op orde hebben, gestructureerd controleren en verbeteren;
  • Informatiebeveiliging is nog niet op het vereiste niveau. In het algemeen kennen pensioenfondsen en verzekeraars een aantal maatregelen (controles), die nog op het minimaal vereiste niveau moeten worden gebracht;
  • Informatiebeveiliging in de gehele keten is nog onvoldoende beheerst. Pensioenfondsen en verzekeraars houden in onvoldoende mate zicht op de kwaliteit van informatiebeveiliging nadat zij werkzaamheden hebben uitbesteed. Inzicht en beheersing van beveiligingsrisico’s in de gehele informatieketen (bijvoorbeeld bij cloudoplossingen) is in het algemeen onvoldoende. Deze complexiteit neemt toe naarmate er meer schakels in deze keten betrokken zijn (bijvoorbeeld bij onderuitbesteding);
  • De kwaliteit van (IT-)riskmanagement moet verbeteren. Pensioenfondsen en verzekeraars evalueren en onderhouden de door hen getroffen maatregelen onvoldoende, waardoor een achterstand ontstaat op de continu veranderende (cyber)risico’s. Actieve evaluatie gezien het bewegende speelveld en dreigingsbeeld is een vereiste. Ook ziet DNB dat maatregelen rondom patchmanagement verbeterd moeten worden;
  • De expliciete aandacht voor cyberrisico’s wisselt sterk per instelling. Voor de analyse van cyberrisico’s zoeken instellingen in toenemende mate de samenwerking met partijen binnen de sector en met gespecialiseerde partijen daarbuiten. Een deel van de instellingen betrekt cyberrisico’s onvoldoende expliciet in hun analyses;
  • Het dreigingsbeeld verandert snel door toename van de cyberrisico’s; dit draagt bij aan de noodzaak tot samenwerking. In toenemende mate wordt kennis gedeeld in de keten en tussen instellingen om weerbaar te zijn voor cyberrisico’s.                                                                                                                                                                                                                                                                                                        De conclusies uit het onderzoek zijn aan alle betrokken instellingen verstrekt. Eind december gaf DNB zowel de individuele resultaten als een vergelijking van de individuele resultaten met het sectorgemiddelde.                                                                                                                                                                                                                                                                                                   Onvoldoende beheersing risico’s uitbesteding

De risico’s van de uitbestedingen worden op onderdelen onvoldoende beheerst door veel verzekeraars, zo blijkt uit DNB-onderzoek. Het percentage uitbestedingen is de afgelopen jaren redelijk stabiel gebleven. Het aandeel materiële uitbestedingen naar de cloud stijgt significant, aldus de toezichthouder. “Met deze laatste ontwikkeling neemt (ook) de versnippering van uitbestedingsrelaties toe, worden uitbestedingsketens langer en wordt de beheersing op de hele keten complexer. De top serviceproviders wordt aangevoerd door traditionele spelers. Deze worden direct gevolgd door de grote cloudserviceproviders.”

Beheersing op uitbestedingsrisico’s moet beter

Uit het onderzoek is gebleken dat de risico’s die aan uitbesteden zijn verbonden (zoals continuïteit bedrijfsvoering, kwaliteit (service), gegevensbescherming en compliance) bij een groot deel van de deelnemers aan dit onderzoek nog niet voldoende worden beheerst. Op basis van de resultaten van dit onderzoek zouden instellingen beter zicht en grip moeten hebben op de (onder)uitbestedingen om uitbestedingsrisico’s te kunnen beheersen. DNB koppelt in april 2018 de resultaten van het onderzoek terug in een sectorbrief. “De uitvoering van het onderzoek heeft een forse impact gehad. Het effect op de sector laat zich vangen in de woorden van een van de deelnemende instellingen: ’van onbewust onbekwaam, naar bewust onbekwaam’.”

Niet alle uitbestedingsketens zijn volledig inzichtelijk geworden. De verzekeraars hebben deze data niet beschikbaar en kunnen daarom niet volledig rapporteren. Desondanks ziet DNB aan het einde van de uitbestedingsketens regelmatig de in Nederland gevestigde datacenters en de grote internationale cloudproviders.

Melden uitbestedingen

Een deel van de verzekeraars is niet bekend met de meldingsplicht: de plicht om uitbestedingen tijdig te melden aan DNB. Ook is een aantal verzekeraars niet goed op de hoogte van de plicht om het onderzoeksrecht voor DNB op te nemen in de contracten die zij aangaan met derden over de uitbesteding. DNB bouwt aan een Digitaal Loket Uitbesteding. Verzekeraars kunnen bij dit loket in de nabije toekomst hun meldplicht voldoen. Meer informatie hierover volgt in de komende maanden.

Foto DNB

Gerelateerde artikelen

Faisal Setoe nieuwe Algemeen Directeur HDI Global Nederland

Insurance | 25-04-2024

HDI Global is verheugd aan te kondigen dat Faisal Setoe per 1 juni 2024 zal aantreden als de nieuwe Algemeen Directeur van HDI Global Nederland. Sharon van Herel, de huidige Managing Director, zal het bedrijf verlaten om nieuwe professionele kansen na te streven. Faisal Setoe is sinds 2019 werkzaam bij HDI Global en bekleedde sinds […]

Sharon van Herel nieuwe CEO Klaverblad Verzekeringen

Insurance | 25-04-2024

Per 1 juni 2024 is Sharon van Herel de nieuwe Algemeen directeur van Klaverblad Verzekeringen. Van Herel maakt de overstap van HDI Global Nederland, grootzakelijke verzekeraar in Rotterdam. Ze was hier zestien jaar werkzaam, waarvan zes als Managing Director. Bij Klaverblad neemt ze het stokje over van Albert Bakker die sinds november jl. de functie […]

SUREbusiness ondersteunt intermediair bij transitie naar zakelijke markt

Insurance | 25-04-2024

Veel financieel advieskantoren maken de keuze om vooral te groeien in de zakelijke schademarkt. Kennis- en vergelijkingsplatform SUREbusiness iondersteunt het intermediair bij de transitie naar advisering en bemiddeling van zakelijke schadeverzekeringen. Binnen de prioriteitenlijst 2024/2025 staat uitbreiding van de advies- en bemiddelingsactiviteiten op het gebied van zakelijke schadeverzekeringen bij de meeste financieel advieskantoren hoog genoteerd. […]

Kifid belicht in Jaarverslag 2023 trends en ontwikkelingen uit de praktijk

Insurance | 25-04-2024

De behandeling van zo’n 3.200 financiële klachten door Kifid in 2023 levert een schat aan kennis en ervaring op. In het Jaarverslag 2023 komen de meest in het oog springende trends en ontwikkelingen uit de Kifid-praktijk aan bod in de praktijkverhalen. Het aantal behandelde klachten over schadeverzekeringen en hypotheekzaken nam in 2023 toe. Ook zijn […]

Meld je aan voor de nieuwsbrief

"*" geeft vereiste velden aan

F.J. Ebbensstraat 81, 4007 WJ Tiel

info@riskenbusiness.nl

0344-633356 of 06-20490063

Linkedin
Ik wil adverteren
© 2024 Risk & Business

 | Design & Development door WP Masters