Waarom dit onderzoek?
“We zien al een aantal jaar dat de geopolitieke situatie sterk aan het veranderen is. Waren voorheen vrijhandel en internationale samenwerking het devies, inmiddels is er steeds vaker sprake van fragmentatie en blokvorming tussen landen. We vroegen ons daarom af: wat voor risico’s levert dit op voor banken, verzekeraars en pensioenfondsen en wat betekent dat dan weer voor ons toezicht?”
Wat kwam eruit?
“Het onderzoek laat duidelijk zien dat geopolitieke spanningen echt een trigger kunnen zijn voor de risico’s waar financiële instellingen aan bloot staan. Dan hebben we het over financiële risico’s, denk aan kredietverliezen en schokken op de aandelenmarkt als de spanningen ergens oplopen, maar zeker ook over niet-financiële risico’s. Hier is vooral het steeds complexer wordende digitale landschap waarin instellingen opereren en de dreiging van cyberaanvallen belangrijk om te noemen.
Het is zaak dat instellingen zich hier goed op voorbereiden en werken aan hun cyberweerbaarheid. Hoe kwetsbaar de digitale infrastructuur kan zijn, hebben we afgelopen zomer gezien toen het misging bij cybersecuritybedrijf CrowdStrike en wereldwijd onder andere luchthavens en ziekenhuizen werden platgelegd. Dit was weliswaar een computerstoring en géén cyberaanval, maar laat wel zien hoe ontwrichtend dit soort incidenten kunnen zijn. We hebben het hier over grensoverschrijdende problematiek, die dus ook vraagt om internationale oplossingen. Europese samenwerking is daarbij cruciaal. Daarom is het goed dat er met de Europese Digital Operational Resilience Act op het gebied van cyber nieuwe wetgeving aankomt die de financiële sector weerbaarder moet maken.”
Wil je daarmee zeggen dat financiële instellingen deze risico’s onderschatten?
“Zeker niet. Bij alle financiële instellingen die we gesproken hebben staan geopolitieke risico’s op het netvlies. Het gaat ons als toezichthouder erom dat ze dit ook doorvertalen naar hun risicomanagement. Dat kan bijvoorbeeld door gebruik te maken van stresstesten en scenario-analyses. Door bepaalde extreme scenario’s na te bootsen kunnen ze erachter komen wat de mogelijke gevolgen zijn en waar de kwetsbaarheden zitten. Zo kunnen ze op voorhand maatregelen treffen en komen ze minder snel voor verrassingen te staan als bepaalde risico’s zich daadwerkelijk voordoen. Daarnaast is het goed om te kijken naar de keten van partijen waarmee ze samenwerken, zoals ICT-aanbieders. Hoe goed zijn die op geopolitieke risico’s voorbereid? De keten is tenslotte zo sterk als de zwakste schakel.”
Hoe komt zo'n studie eigenlijk tot stand?
“We zijn om te beginnen met veel verschillende partijen in gesprek gegaan. Denk aan financiële instellingen in binnen- en buitenland, maar ook overheidsinstanties en experts op het gebied van geopolitieke ontwikkelingen. Die hebben we gevraagd hun blik op het internationale speelveld te schetsen en de risico’s die ze hierbij voor financiële instellingen zien. Ook wilden we weten wat de mogelijke gevolgen zijn voor bijvoorbeeld spaarders en pensioengerechtigden en welke rol ze voor ons als toezichthouder zien weggelegd. Op basis van die input en ons eigen aanvullende onderzoek zijn we gaan schrijven. Daar is de publicatie uitgekomen waar we vandaag mee naar buiten gaan.”
En DNB zelf? Zijn jullie op deze risico's voorbereid?
“Ook voor ons is het belangrijk om heel alert te zijn op wat er in de wereld gebeurt en hoe dit impact kan hebben op ons eigen functioneren. Over deze ontwikkelingen zijn we voortdurend in gesprek met de overheid, met andere centrale banken en met financiële instellingen. Om bijvoorbeeld cyberrisico’s het hoofd te bieden, hanteren we, als onderdeel van onze cyberstrategie, dezelfde normen die we aan de financiële sector opleggen. Ook organiseren we bijvoorbeeld testaanvallen op onze IT-systemen om onze cyberweerbaarheid op orde te houden. En ook op dit gebied zoeken we op Europees niveau de samenwerking zodat we van de ervaringen van andere partijen kunnen leren.”