Informatiebeveiliging

Inzet Pensioenfederatie

De Pensioenfederatie zet zich in om informatie over en ervaringen met cyberdreigingen te delen met haar leden, om zo bij te dragen aan een stabiele digitale omgeving waarin veiligheid van informatie en informatiesystemen geborgd is.

Nieuws en achtergronden

Nederland heeft een uitstekend ondernemersklimaat en een sterke internationale concurrentiepositie. Digitalisering is een belangrijk onderdeel hiervan. Een randvoorwaarde hierbij is dat de organisaties digitaal weerbaar zijn en hun digitale veiligheid op orde hebben. Het ministerie van Economische Zaken en Klimaat (EZK) heeft daarom in 2018 het Digital Trust Center (DTC) opgericht. Het DTC heeft als missie om 2 miljoen Nederlandse bedrijven weerbaarder te maken tegen toenemende cyberdreigingen. Alles van zzp’ers tot en met het grootbedrijf. Dit zijn alle bedrijven in Nederland die tot de niet-vitale sectoren behoren. Vitale sectoren, zoals banken, telecom-, energie-, en waterbedrijven, hebben het Nationaal Cyber Security Center (NCSC) als samenwerkingspartner binnen de Rijksoverheid.

De pensioensector valt onder de niet-vitale sector, zodoende is de Pensioenfederatie een samenwerkingsverband aangegaan met het DTC. De samenwerking ziet op het delen van kennis, het ontwikkelen van tools, het beschikbaar stellen van een community en het delen van dreigingsinformatie.

Daarnaast is de Pensioenfederatie lid van de Pensions-ISAC (P-ISAC). ISAC staat voor Information Sharing and Analysis Centre. In de P-ISAC wordt gevoelige en vertrouwelijke informatie over incidenten, dreigingen, kwetsbaarheden en maatregelen besproken. Door over deze ervaringen te spreken, kunnen lessen gedeeld worden met de pensioensector.

Tweewekelijkse nieuwsbrief
Relevante informatie (die gedeeld mag worden) uit de gremia waarin de Pensioenfederatie participeert, neemt de Pensioenfederatie op in haar tweewekelijkse nieuwsbrief. Leden van de Pensioenfederatie kunnen d.m.v. een e-mail te sturen zich aanmelden.

Verordening Digitale Operationele Weerbaarheid (DORA)
De Verordening over digitale operationele weerbaarheid (DORA) brengt minimumvereisten voor de digitale weerbaarheid van financiële instellingen en stelt regels om de risico’s bij uitbestedingspartijen te beheersen. Ook pensioenfondsen moeten voor 17 januari 2025 aan de vereisten voldoen.

Lagere regelgeving wordt nog ontwikkeld. De Europese toezichthouders consulteerden in de zomer van 2023 een eerste set concept-lagere regelgeving. Het betreft eisen aan het ICT-risicomanagement; contractvoorwaarden die moeten worden afgesloten met aanbieders van ICT-diensten; een methode voor de classificatie van ernstige ICT-gerelateerde incidenten. Over ernstige incidenten moet worden gerapporteerd aan de toezichthouder; en een format voor een informatieregister, waarin de ICT-uitbestedingsketen wordt bijgehouden.

Zie onze consultatiereactie hier. In januari 2024 hebben Europese toezichthouders een definitief voorstel voor een eerste set lagere regelgeving gepubliceerd. Dat ligt nu bij de Europese Commissie. Het is zeer onwaarschijnlijk dat die nog wijzigingen aanbrengt. Pensioenfondsen kunnen dus aan de gang om de lagere regelgeving te implementeren.

In januari 2024 hebben toezichthouders een tweede set concept-lagere regelgeving ter consultatie gepubliceerd. Die gaat over de rapportage van ICT-gerelateerde incidenten; cybersecurity testen (threat-led penetration testing); de berekening van kosten en verliezen van ernstige ICT-gerelateerde incidenten; de (onder-)uitbesteding van kritieke en belangrijke functies; en het toezicht op kritieke derde ICT-aanbieders. De Pensioenfederatie werkt aan een reactie.

Inzet Pensioenfederatie

De Pensioenfederatie is met regelgevers en toezichthouders in gesprek voor werkbare en doeltreffende toepassing van de DORA. En het helpt haar leden bij (samenwerking bij) implementatie van de nieuwe vereisten.

De werkgroep DORA van de Pensioenfederatie geeft feedback op concept-lagere regelgeving. Tot nu toe zien we te weinig aandacht voor de specificiteit van pensioenuitvoering. Te strakke voorschriften zouden ervoor zorgen dat pensioenfondsen de beperkte middelen niet besteden daar waar de grootste risico’s spelen. Verder zou er meer oog moeten zijn voor proportionele toepassing van de wetgeving.

Beschikbare informatie

• Wetstekst
• Eerste set definitieve concept-lagere regelgeving
• Tweede set concept-lagere regelgeving
• Samenvattende presentatie door Europese toezichthouders
• DNB Update Q&A en Good Practice Informatiebeveiliging december 2023
• AFM DORA updates
• Advies van de Europese toezichthouders voor Criteria voor de aanwijzing van kritieke derde ICT-aanbieders

DNB Good Practice Informatiebeveiliging
Toezichthouder DNB heeft een Good Practice document opgesteld met 58 controls over informatiebeveiliging. Pensioenfondsen moeten voldoen aan deze controls. Het document is hier te vinden.

Cybersecurity woordenboek
In de pensioensector worden veel afkortingen gebruikt en heeft het een eigen jargon. Dat is kenmerkend voor elke sector, zodoende zijn er ook veel “onbekende” woorden in het informatiebeveiligingsdomein. Op deze pagina is een woordenboek te vinden met alle belangrijke begrippen over informatiebeveiliging.

Basisprincipes van veilig digitaal ondernemen
Het DTC heeft 5 basisprincipes van veilig digitaal ondernemen opgesteld. Zo wordt de weerbaarheid tegen cyberrisico’s die de bedrijfsvoering kunnen verstoren vergroot.

1. Inventariseer kwetsbaarheden
   Inventariseer de ICT-onderdelen, kwetsbaarheden en maak een risico-analyse. Bij risico’s kijk je naar de beschikbaarheid, integriteit en vertrouwelijkheid.
2. Kies veilige instellingen
   Controller de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan.
3. Voer updates uit
   Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie.
4. Beperk toegang
   Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de organisatie vertrekt.
5. Voorkom virussen andere malware
   Er zijn vier manieren om malware te voorkomen: stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software.

Openbare documenten/interactieve tools

• Basisscan Cyberweerbaarheid
• Wegwijzer voor cybersecrutiy initiatieven
• Risicoklassenindeling
• Test je back-up
• Automatisch updaten?