DNB: operationele cyberweerbaarheid pensioensector moet verder verbeteren

Uit de sectorbrede analyse informatiebeveiliging 2023 onder Nederlandse pensioenfondsen en pensioenuitvoeringsorganisaties komen een drietal aandachtspunten naar voren:

1. Business continuity maatregelen worden onvoldoende getest: vooral zelfadministrerende pensioenfondsen hebben minder aandacht voor business continuity en het testen van business continuity maatregelen. Ook maken kritieke en belangrijke uitbestedingsrelaties lang niet altijd onderdeel uit van de testen. Hier zal DNB in 2024 meer aandacht aan besteden. Dat geldt ook voor de rol en expliciete kennis van bestuurders en (interne) toezichthouders op het gebied van IT risk management en het zicht en grip van pensioenfondsen en uitvoeringsorganisaties op de beheersing van IT- en cyberrisico’s in hun uitbestedingsketens, inclusief het verkrijgen van assurance daarop.
2. De implementatie van kritieke beveiliginsgspatches in niet verbeterd: pensioenfondsen en uitvoeringsorganisaties besteedden in 2022 minder aandacht aan beheerst en versneld implementeren van kritieke beveiligingspatches ten opzichte van het voorgaande jaar. DNB vraagt dan ook nadrukkelijk aandacht voor een snelle reactie van pensioenfondsen en uitvoeringsorganisaties op potentiële beveiligingslekken in hun (uitbestede) IT-applicaties en IT-infrastructuur.
3. Verankering van IT en cyberweerbaarheid in de gehele risicomanagementcyclus blijft achter: nog steeds kan één op de vijf pensioenfondsen en uitvoeringsorganisaties onvoldoende aantonen dat hun IT risicomanagement framework volwassen is en kan ruim een kwart onvoldoende aantonen dat de processen die opvolging geven aan risico-verbeterplannen volwassen zijn.  

Bron: DNB, 30 oktober 2023.