DNB ziet dat, ondanks een lichte verbetering ten opzichte van vorig jaar, bijna de helft van de verzekeraars in Nederland in 2024 nog niet voldoet aan het door DNB verwachte niveau voor de beheersing van operationele risico’s.
© Shutterstock
Onder meer ziet DNB dat de beheersing van ICT- en uitbestedingsrisico’s verbetering behoeft. Met de inwerkingtreding van DORA per 17 januari 2025 die tot doel heeft de digitale weerbaarheid van de financiële sector te vergroten, worden de eisen voor de beheersing van deze risico’s Europees wettelijk verankerd.
Verder ziet DNB dat het risicomanagement ten aanzien van datakwaliteit in de verzekeringssector een aandachtspunt is. Dit blijkt uit onderzoeken, gesprekken en de sectorbrede uitvraag operationeel risicomanagement en informatiebeveiliging onder verzekeraars in 2024.
DNB constateert dat het risicomanagement rondom informatiebeveiliging en uitbestedingen in de verzekeringssector verbetering behoeft. Daarbij hoort enige nuance. Uit onze uitvragen en onderzoeken blijkt enerzijds dat een groot deel van de verzekeraars een volwassen ICT-risicomanagement proces volgt en dat ook kan aantonen. Anderzijds heeft een grote groep verzekeraars weliswaar een functionerend risicomanagement proces, maar zijn er op onderdelen tekortkomingen in de effectiviteit of aantoonbaarheid van dat proces, zie figuur 1. Bij deze laatste groep zien we dat instellingen maatregelen treffen om hun ICT-risico’s te beheersen en nagaan of die maatregelen werken, zonder dat zij regelmatig evalueren in hoeverre hun maatregelen nog passen bij veranderende (cyber)dreigingen. Ook nemen deze verzekeraars (oorzaken van) operationele verstoringen of incidenten niet altijd aantoonbaar mee in hun evaluaties van de effectiviteit van maatregelen. Dit kan ertoe leiden dat maatregelen van instellingen ongemerkt verouderen en uiteindelijk onvoldoende opgewassen blijken te zijn tegen snel veranderende (cyber)dreigingen.
© DNB
Figuur 1 - Percentage instellingen in de sector Verzekeren dat op de drie onderdelen van ICT-risicomanagement onder de gewenste lat rapporteert.
DNB benadrukt het belang van een gedegen risicomanagement proces dat in staat is om belangrijke risico’s te identificeren en mitigeren en de maatregelen regelmatig te testen en te evalueren, waarbij ook de uitbestedingsketen moet worden meegenomen.
Uit de uitvraag en onderzoeken komt een aantal observaties naar voren die DNB hieronder nader toelicht.
Een aantal verzekeraars gebruikt kritieke IT-systemen die niet langer door leveranciers worden ondersteund. Uit de sectorbrede uitvraag blijkt dat 23% van de verzekeraars in hun IT-landschap gebruikmaken van kritieke systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates (legacy systemen). Hierdoor kunnen bekende kwetsbaarheden onopgelost blijven. Dat kan leiden tot misbruik door een kwaadwillende met een bedreiging voor de integriteit, beschikbaarheid en beveiliging van gegevens van verzekeraars en hun klanten.
De helft van de verzekeraars gaf aan dat het proces rondom datamanagement op onderdelen onvoldoende volwassen is. Dit betreft name de opslag- en retentieregelingen en het voldoen aan de beveiligingseisen voor datamanagement, zie figuur 2. Onvolwassenheid in deze processen kan leiden tot inefficiënte dataopslag en datalekken, wat de noodzaak benadrukt voor adequate procedures en technische maatregelen.
Het gebruik en beheer van (cryptografische) sleutels behoeft bij een aantal verzekeraars aanvullende aandacht. In de uitvraag gaf ongeveer een derde van de verzekeraars (zie figuur 2) aan dat de processen rondom sleutelbeheer onvoldoende volwassen zijn. Om de integriteit, vertrouwelijkheid en authenticiteit van data nu en in de toekomst te waarborgen, mede gezien de ontwikkeling van quantum computing, is een gedegen sleutelbeheerproces van belang. Quantum computing kan de huidige cryptografische methoden ondermijnen, waardoor het van belang is om regelmatig risicoanalyses uit te voeren en een passend sleutelbeheerproces te implementeren. Dit omvat het regelmatig veranderen van cryptografische sleutels en het toepassen van de nieuwste beveiligingsprotocollen.
© DNB
Figuur 2 - Percentage instellingen in de sector Verzekeren dat op de onderdelen datamanagement, (cryptografisch) sleutelbeheer en life cycle management onder de gewenste lat rapporteert.
Onveranderlijke back-ups zijn niet de sectorbrede standaard. DNB heeft in 2024 bij enkele verzekeraars verdiepend onderzoek gedaan naar hun operationele veerkracht na een impactvolle cyberaanval. Bijvoorbeeld na een ransomware aanval waarbij de gehele IT-omgeving door een kwaadwillende is versleuteld. Uit deze onderzoeken komt naar voren dat onveranderlijke back-ups een belangrijke technische maatregel zijn om de bedrijfsvoering te kunnen voortzetten na een impactvolle aanval. Een dergelijke of vergelijkbare maatregel blijkt niet bij alle onderzochte instellingen te zijn ingeregeld. Tegelijkertijd dient een instelling zich ook voor te bereiden op hoe te handelen en naar de betrokkenen te communiceren om te kunnen herstellen uit een situatie dat de IT-systemen gedurende een langere tijd niet beschikbaar zijn, bijvoorbeeld omdat het herstel na een impactvolle cyberaanval complex en tijdrovend kan zijn. Het onderzoek wijst uit dat verzekeraars nog onvoldoende oefenen met een dergelijk scenario. DNB vindt het belangrijk dat verzekeraars back-up procedures en maatregelen treffen die passend zijn bij het kritieke karakter van de processen en dat deze regelmatig worden getest.
Een groot aantal verzekeraars heeft onvoldoende zicht en grip op haar kritieke uitbestedingsketens.
Uit de uitvraag komt naar voren dat de verzekeraars ten opzichte van vorig jaar hun uitbestedingen beter monitoren qua prestaties en interne beheersing. Desalniettemin voldoet een groot aantal verzekeraars niet aan het gewenste niveau voor de beheersing van de uitbestedingsrisico’s.
Het belangrijkste aandachtspunt bij deze groep is dat er onvoldoende informatie is over de risicobeheersing van alle kritieke dienstverleners in de kritieke uitbestedingsketens. Dit wordt met name veroorzaakt doordat:
Door onvoldoende zicht op de (onder)uitbestedingsketens en de locatie van dataopslag ontstaan risico’s die kunnen leiden tot onverwachte verstoringen van kritieke bedrijfsprocessen en diefstal of verlies van kritieke of vertrouwelijke data.
DNB vindt het belangrijk dat verzekeraars hun kritieke uitbestedingsketens kennen, registreren, monitoren en jaarlijks evalueren. Daarbij dient gewaarborgd te worden dat de maatregelen omtrent informatiebeveiliging en Business Continuity Management bij de dienstverleners in deze ketens voldoen aan de eigen beleidslijnen.
Een deel van de verzekeraars rapporteert tekortkomingen met betrekking tot de beheersing van datakwaliteit.
DNB constateert dat ten opzichte van vorig jaar meer verzekeraars beschikken over een datakwaliteitsbeleid, een gedocumenteerde risicobereidheid en rapportages over datakwaliteit. Desondanks heeft ongeveer 40% van de verzekeraars haar beheersing ten aanzien van datakwaliteit nog niet op orde. De oorzaken zijn voornamelijk:
Daarnaast constateert DNB dat bij ruim een kwart van de verzekeraars geen periodieke managementinformatie aanwezig is over datakwaliteit. Daar waar deze managementinformatie wel beschikbaar is, ontbreekt in veel gevallen informatie over datakwaliteit incidenten, worden de uitkomsten niet vergeleken met de risicobereidheid of ontbreekt een onafhankelijke opinie van de risicomanagement- en/of compliance functie.
Het risico van onvoldoende beheersing van datakwaliteit is dat dit onjuiste besluitvorming tot gevolg kan hebben, bijvoorbeeld door onjuiste stuurinformatie aan het management en onjuistheden in wettelijke rapportages.
DNB vindt het belangrijk dat verzekeraars een gedegen risicomanagement cyclus rondom datakwaliteit opzetten en uitvoeren, een up-to-date datakwaliteit beleid voeren en dat EUC toepassingen in beeld hebben en risico’s rond het gebruik daarvan monitoren en beheersen.
DNB geeft in 2025 in haar toezicht onder meer aandacht aan de hierboven genoemde aandachtspunten. DNB zal voor eind april van 2025 het informatieregister op vragen met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten. Tegelijkertijd is het noodzakelijk dat instellingen een proces hebben ingericht voor het melden van majeure ICT-incidenten, dat voldoet aan de DORA-eisen. Risicogebaseerd zal DNB onderzoeken in hoeverre de beheersing van digitale operationele weerbaarheid overeenkomt met de vereisten in DORA. In het bijzonder zal DNB in 2025 aandacht vragen voor awarenessprogramma’s en actuele kennis op zowel bestuur als medewerkersniveau met betrekking tot dit onderwerp, IT-continuïteit, het beheersen van ICT risico’s bij derde aanbieders, en de ICT risicomanagement cyclus.
DNB verwacht dat verzekeraars hun risico’s op gebied van informatiebeveiliging, uitbesteding en datakwaliteit adequaat beheersen in lijn met de voor hen geldende wet- en regelgeving.
Met de Digital Operational Resilience Act (DORA) wordt van instellingen in de financiële sector verwacht dat ze digitaal weerbaar zijn en hun ICT-risicomanagement op orde hebben. Dit stelt specifieke eisen aan de kennis en ervaring van de personen die het beleid van deze instellingen bepalen.
Lees meer ICT-risicomanagement onder DORA onderdeel van personentoetsingen
In 2025 stelt DNB twee jaarlijkse rapportages al beschikbaar per februari.
Lees meer Vragenlijsten SBA-NFR én IRAP 2025 eerder beschikbaar
Op dinsdag 12 november vond de jaarlijkse DNB verzekeringsmiddag plaats in theater Spant!, waarvoor de verzekeringssector weer in groten getale naar Bussum was gekomen. Het thema van de middag was ‘Omgeving in beweging: (Toezicht)werk in uitvoering’.
Lees meer Verzekeringsmiddag 2024 – slides van de break-outsessies
FATF heeft een update van haar ‘grijze’ en ‘zwarte’ lijsten gepubliceerd.
Lees meer Update FATF-waarschuwingslijsten oktober 2024
