Digitalisering, nieuwe innovaties en meer thuiswerkers. Het leidt allemaal tot meer cyberrisico’s en een verhoging van de IT-risico’s. De Nederlandse en Europese wet- en regelgeving voor de financiële sector bevat al jaren IT-componenten, en de laatste jaren is het toezicht op IT Compliance nog verder aangescherpt. Zo is de Nederlandsche Bank (DNB) erg actief op dit gebied, met onder andere IT-risk assessments en het uitvaardigen van best practices op het gebied van informatiebeveiliging. Ook de Autoriteit Financiële Markten (AFM) kwam eind 2019 met haar principes van informatiebeveiliging.
Nu het toezicht in Europa steeds meer gecentraliseerd wordt, heb je als Nederlandse instelling daarnaast te maken met Europese toezichthouders als de European Banking Authority (EBA) en/of de European Insurance and Occupational Pensions Authority (EIOPA). Recentelijk nog, kwam de Europese Commissie (EC) met een voorstel voor een verordening om de digitale weerbaarheid van de financiële sector te vergoten: de Digital Operational Resilience Act (DORA). De AFM verwacht dat DORA eind 2022 in werking zal treden, en waarschuwt ondernemingen om zich hier tijdig op voor te bereiden.
Inzicht in de IT-wetgeving en standaarden met compliance software
Het kan moeilijk zijn overzicht te houden in deze wirwar aan regels en handvatten van verschillende toezichthouders. Als je voldoet aan de EBA guidelines, voldoe je dan automatisch ook aan de verwachtingen van DNB of de AFM? En welke impact zal DORA hebben op financiële instellingen in Nederland?
Dit moet gemakkelijker kunnen, dachten wij. Daarom hebben de IT-security specialisten van Charco & Dique gezocht naar een manier om alle IT-standaarden samen te voegen en te verwerken in compliance software Ruler. ‘’Om inzicht te krijgen in hoe deze verschillende standaarden zich tot elkaar verhouden, hebben we een analyse uitgevoerd op de verschillen in de standaarden,’’ vertelt consultant Niels Huijpen. ‘’Als basis hebben we hiervoor de EBA guidelines gebruikt, omdat ze veelomvattend zijn en de DNB ‘good practices’ vervangen. Vervolgens hebben we alle andere bestaande IT-standaarden (AFM principes, PSD2 EBA guidelines, EIOPA wetgeving, etc.) hiermee vergeleken.’’
Het resultaat? Een duidelijk overzicht van alle (huidige en toekomstige) IT-standaarden in Ruler. Het IT Compliance profiel maakt inzichtelijk aan welke vereisten voldaan moet worden, ongeacht wat voor soort vergunning de organisatie heeft. Huijpen: ‘’In het profiel kun je per IT onderwerp zien welke wettelijke eisen gelden binnen de diverse wettelijke kaders en vergunningtypen en doorklikken voor meer informatie. Vervolgens kun je op basis van je risicoanalyse beheersmaatregelen toevoegen, workflows starten en een planning met actiepunten opstellen en monitoren. Op deze manier kun je per onderwerp bekijken in hoeverre je voldoet.’’
Bron: www.ruler.nl
