DNB: risicobeheersing pensioensector nog niet altijd voldoende

In het eerste kwartaal van 2025 heeft DNB de jaarlijkse uitvraag uitgevoerd naar operationele risico’s in de pensioensector, met de focus op informatiebeveiliging en cyberweerbaarheid. DNB concludeert uit de resultaten van de uitvraag dat een deel van de pensioensector begin 2025 op deze punten nog niet voldoet aan het gewenste niveau. Vooral ICT‑risicomanagement, de volwassenheid van beveiligingsmaatregelen en het beheer van uitbestedingsketens schieten bij sommige instellingen tekort.

Belangrijke knelpunten zijn:

• Onvoldoende aantoonbare werking van ICT‑risicomanagement;
• Ontbrekende risicotoleranties voor ICT‑uitbesteding;
• Lage volwassenheid van business continuity‑ en security‑processen; en
• Afhankelijkheid van legacy‑systemen en traag patchmanagement.

DNB benadrukt dat deze punten onder DORA wettelijke verplichtingen zijn en verwacht dat instellingen actief verbeteringen doorvoeren. Vanaf 2026 wordt de jaarlijkse uitvraag volledig gebaseerd op DORA.

Bron: DNB, 11 december 2025