‘Informatiebeveiliging is één van de belangrijkste operationele risico’s voor pensioenfondsen’

In gesprek met Ingrid Talsma en Martin Luijt van De Nederlandsche Bank
Type: Onderwijs
Publicatiedatum: 5-9-2023

De pensioensector is een domein waarvan cybercriminelen zien dat er wat te halen valt. Gegevens van deelnemers zijn geld waard. Cyberaanvallen worden geavanceerder en het aantal neemt toe. De ontwrichtende impact van cyberaanvallen wordt steeds groter en kunnen de continuïteit van een gehele uitbestedingsketen ernstig schaden. DNB ziet de risico’s van informatiebeveiliging, cybersecurity en uitbesteding als één van de belangrijkste operationele risico’s.

Het Expertisecentrum Operationele & IT-risico’s DNB (ECOPIT) van de divisie Toezicht Pensioenfondsen onderzoekt of verzekeraars en pensioenfondsen hun processen en organisatie zodanig hebben ingericht dat ze goed bestand zijn tegen, onder andere, cyberrisico’s. Ingrid Talsma en Martin Luijt werken op deze afdeling. SPO Nyenrode ging met hen in gesprek over cyberrisico’s, informatiebeveiliging en het toezicht van DNB op deze onderwerpen.

Ingrid: “Er vinden veel cyberaanvallen plaats, binnen én buiten de financiële sector. Van simpele aanvallen door scripts die geautomatiseerd het hele internet afzoeken tot geavanceerde ransomware-aanvallen. Uit de laatste IB-monitor [1] bleek dat één op de twintig pensioenfondsen en verzekeraars weleens een aanval te hebben meegemaakt. Dat betekent niet dat de impact van al die aanvallen even groot was. Ernstige incidenten moeten apart bij DNB worden gemeld.

Dreigingen veranderen en alleen preventie is niet meer voldoende

Aanvallers worden geraffineerder en de aanvallen worden steeds complexer. Gelukkig wordt het merendeel van de aanvallen tijdig gedetecteerd. Detectie en periodiek testen van de weerbaarheid van een instelling wordt steeds belangrijker. Pensioenfondsen doen er verstandig aan om de inrichting van hun informatiebeveiliging op niveau te brengen en te houden, ook in het geval dat belangrijke activiteiten zijn uitbesteed bij derde partijen.”

Cyberrisico en informatiebeveiliging nader toegelicht

Martin: “Cyberrisico is het risico dat de ICT systemen van een pensioenfonds worden binnengedrongen door personen vanuit de organisatie zelf of vanaf buiten door cybercriminelen. DNB geeft handvatten en voorbeelden voor de beheersing van deze risico’s in Q&A’s en Good Practices. Daarin is te lezen hoe instellingen kunnen voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging en uitbesteding. Je wordt meegenomen in de verwachtingen van DNB op deze onderwerpen aan de hand van praktische voorbeelden van risico’s en beheersingsmaatregelen.”

“Onder Informatiebeveiliging wordt verstaan: de maatregelen die een pensioenfonds treft om de informatie binnen of buiten zijn ICT systemen te beveiligen tegen ongeoorloofde toegang en ontvreemding. Bij deze maatregelen kan je denken aan toegangsbeveiliging en detectie van vreemde activiteiten op je netwerk, maar ook aan maatregelen die het bewustzijn van de medewerkers moeten bevorderen. DNB heeft de Good Practice Informatiebeveiliging [2] gepubliceerd, waarin 58 maatregelen (controls) zijn opgenomen, waarvan DNB verwacht dat financiële instellingen deze op voldoende niveau brengen.

De rol van het bestuur in cyberrisico’s en informatiebeveiliging

Ingrid: ”Belangrijk is dat een pensioenfonds kiest voor een mix van beheersmaatregelen passend bij de aard en omvang van de cyberrisico’s van de instelling. Het is belangrijk dat het pensioenfonds een juiste combinatie van preventieve, detectieve en correctieve maatregelen op een voldoende volwassenheidsniveau heeft geïmplementeerd en periodiek als ‘proof of the pudding’ door middel van securitytests vaststelt of de organisatie voldoende weerbaar is tegen cyberaanvallen.
 

Ook van belang is dat fondsbestuurders in staat zijn om kritische vragen te stellen en weloverwogen beslissingen te nemen ten aanzien van risico’s van informatiebeveiliging en cybersecurity, ook als deze risico’s zich bevinden bij een dienstverlener verderop in de uitbestedingsketen. Goed als de bestuurder kan meedenken op dit gebied en de instelling helpen om de strategische en tactische richting te bepalen.”

Martin: “Een pensioenfondsbestuurder die kennis heeft van cyberrisico’s en informatiebeveiliging zal beter in staat zijn om ervoor te zorgen dat het pensioenfonds deze risico’s onderkent en beheerst.”

Concurreer, maar niet op het gebied van cyberbeveiliging

Ingrid: “Nederlandse banken liepen voorop met het gebruik van online kanalen. Zij hebben dan ook al jaren te maken met cyberdreigingen. Hierdoor hebben ze veel kennis en ervaring op dit gebied en hebben daardoor een hoger (basis)niveau van informatiebeveiliging.

Wat pensioenfondsen kunnen opsteken van de banken? Banken concurreren weliswaar met elkaar, maar niet op het gebied van cyberbeveiliging. Op dat vlak werken ze steeds meer samen, bijvoorbeeld op het gebied van cyberbeveiliging wordt juist informatie met elkaar gedeeld.

 

[1] Highlights jaarlijkse sectorbrede analyse operationele en IT risico’s pensioenfondsen (dnb.nl)
[2] Q&A Informatiebeveiliging (dnb.nl).
Op deze website staat een verwijzing naar de Good Practice, de SA en de IB monitor 2021.

Wens je meer handvatten en voorbeelden voor de beheersing van IT-risico’s, dan kan je de module Informatiebeveiliging & Cybersecurity volgen van SPO Nyenrode. In deze eendaagse module word je meegenomen in de beheersingsmaatregelen samengevat per onderwerp. De voorbeelden zijn toegespitst op de rol van het bestuur bij de implementatie van en het toezien op die beheersingsmaatregelen

Naast een theoretische inleiding met praktijkvoorbeelden wordt dieper ingegaan op onderwerpen die bij tekortkomingen een hoog risico hebben. Tijdens de training analyseert en beoordeel je zelf enkele praktijkcases, zodat je de stof direct in de praktijk leert toe te passen.

Meer informatie? Neem gerust contact met ons op via telefoonnummer 070-427 66 55 of via info-spo@nyenrode.nl.

Sinds september 2022 is SPO-pensioenopleiders de pensioentak van Nyenrode Business Universiteit. Door de krachten van SPO en Nyenrode te bundelen is kwalitatief pensioenonderwijs met een sectoraal hart en karakter op academisch niveau ontstaan en kunnen we nu als SPO Nyenrode nog beter inspelen op de behoeftes van iedereen die in de pensioensector werkt en bieden we een naadloos doorlopend opleidingsaanbod aan. 

Gerelateerde opleidingen

  • Masterclass Vastgoed voor de Pensioensector

    Startdatum: Nog niet bekend
    Taal:
    • Nederlands
    Locatie:
    • Breukelen
    • Den Haag

    De Masterclass Vastgoed voor de pensioensector geeft u strategisch inzicht in vastgoed als asset class voor rendement, risicospreiding en maatschappelijke impact. Met aandacht voor ESG, digitalisering en PropTech leert u in één dag uw vastgoedbeleid vorm te geven in een snel veranderende omgeving.

    SPO Den Haag

  • Als HR Wtp-proof | Pensioensector

    Startdatum: Kan op ieder moment ingestapt worden
    Taal:
    • Nederlands
    Locatie:
    • Online

    Is jouw HR-team al voorbereid op de wijzigingen die de Wet toekomst pensioenen (Wtp) met zich meebrengt? De Wtp verandert de pensioenregeling voor veel werknemers. Het is aan HR om deze veranderingen helder en correct te kunnen uitleggen. Met SPO Wtp-proof bouwt het HR-team de benodigde kennis hiervoor op.

    Senior Leadership Essentials Belevingssessie

  • Executive Pensions Program | Pensioensector

    Startdatum: 18 november 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen
    • Den Haag

    Het geaccrediteerde Executive Pensions Program combineert ervaringsgericht leren met wetenschappelijke verdieping en leiderschapsontwikkeling. Je krijgt handvatten om toekomstgericht richting te geven aan complexe pensioenkwesties en trends.

  • Masterprogramma Vermogensbeheer | Pensioensector

    Startdatum: Startdatum nog niet bekend
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Het Masterprogramma Vermogensbeheer bestaat uit 4 masterclasses waarin het hele beleggingsproces aan bod komt – van beleid tot uitvoering. je krijgt inzicht in actuele dilemma’s, leert van experts én collega-bestuurders en vertaalt dit direct naar het beleid van jouw fonds

  • Strategisch uitbesteden en partneren | Pensioensector

    Startdatum: 1 april 2026
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Tijdens dit programma leer je hoe je de uitbestedingsprocessen toekomstgericht kunt inrichten in het licht van consolidatie, Wtp-transitie, keuzebegeleiding en IT- en cybersecurity-uitdagingen. Zo krijg je inzicht én handvatten om de strategische koers van jouw pensioenorganisatie te versterken.

  • Boardroom Dynamics | Pensioensector

    Startdatum: Diverse data
    Taal:
    • Nederlands
    Locatie:
    • Den Haag
    • Online

    Goed omgaan met bestuursdynamiek om effectiever besturen. Module is onderdeel van leergang B van SPO Nyenrode - Van Geschikt naar Ervaren op niveau B - maar is ook los te volgen.

    wtc lobby