Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Governance: Toezicht beheersing IT risico’s

Factsheet

Financiële ondernemingen en pensioenfondsen die actief zijn in Nederland (ondernemingen), zijn verantwoordelijk voor de naleving van de financiële toezichtwetgeving.

Gepubliceerd: 15 mei 2014

Bekijk eerdere versies in het archief

Deze DNB-beleidsuiting wordt momenteel opnieuw door DNB beoordeeld in het licht van de Digital Operational Resilience Act (DORA) die met ingang van 17 januari 2025 van kracht wordt voor de financiële sector. Mogelijk wordt deze beleidsuiting aangepast of ingetrokken. De beleidsuiting blijft tot het moment van een eventuele herziening of intrekking van toepassing. Nadere informatie over DORA is te vinden op (inclusief periodieke verschijnende nieuwsberichten): www.dnb.nl/DORA 

Als onderdeel van de bedrijfsvoering maken ondernemingen gebruik van IT. Uit de financiële toezichtwetgeving volgt dat ondernemingen de IT risico’s adequaat dienen te beheersen. Ondernemingen hebben een verantwoordelijkheid om - de eigen omstandigheden in aanmerking nemende - op basis van een eigen analyse de juiste beheersing van IT risico’s te ontwerpen en in te richten. Het Toezicht van DNB op de beheersing van IT risico’s is principle based en gaat er onder andere van uit dat ondernemingen bij het beheren van hun IT risico’s voldoen aan algemeen geaccepteerde standaarden (good practices). Ook dienen ze bij voorkeur afgestemd te zijn op de bedrijfstak-specifieke omstandigheden van de desbetreffende onderneming.

DNB heeft eerder op Open Boek en in nieuwsbrieven informatie gepubliceerd die ondernemingen kan helpen bij het ontwerpen en inrichten van een IT risicobeheersingsomgeving die aan de wettelijke eisen voldoet. De informatie heeft betrekking op deelgebieden van het totale spectrum van IT risico’s die relevant zijn voor ondernemingen. Gegeven de principle based insteek van het IT Toezicht is de inhoud van deze informatie richtinggevend en niet-verplichtend. De informatie geeft inzicht in de door DNB geconstateerde of te verwachten gedragingen van ondernemingen in de praktijk. De informatie is indicatief van aard en sluit daarmee niet uit dat voor ondernemingen een afwijkend, al dan niet strengere toepassing van de onderliggende regels geboden is. De afweging betreffende de toepassing van de informatie berust bij de ondernemingen zelf.

Opgemerkt wordt dat in december 2022 de definitieve DORA-Verordening (EU Verordening 2022/2554) EUR-Lex - 32022R2554 - EN - EUR-Lex (europa.eu) is gepubliceerd. Deze verordening stelt bij implementatie nadere eisen ten aanzien van de beheersing van IT-risico’s.

Voor onderdelen van de IT risicobeheersingsomgeving zijn DNB publicaties beschikbaar:

Download