Beheersen van operationele risico’s in de pensioensector behoeft aandacht

1) ICT-risicomanagement

Evalueren & continu verbeteren

Uit de uitvraag komt naar voren dat bij ca. 20% van de respondenten het risicomanagementproces rondom informatiebeveiliging verdere verbetering behoeft. Los van verbeterpunten die per instelling specifiek kunnen zijn, ziet DNB dat de meeste instellingen hun ICT-risicomanagementprocessen hebben ingericht en dat die processen ook operationeel zijn. Tegelijkertijd kunnen niet alle fondsen en uitvoeringsorganisaties aantonen dat hun ICT-risicomanagement processen daadwerkelijk bijdragen aan een betere beheersing van hun ICT- en cyberrisico’s. DNB verwacht dat instellingen dat wel kunnen aantonen.

Onder DORA is vereist dat financiële instellingen hun kader voor ICT-risicobeheer en hun beheersing van uitbestedingen voortdurend verbeteren op basis van lessen die uit de uitvoering en de monitoring naar voren komen. Tevens dienen zij hun kader ten minste eenmaal per jaar aantoonbaar te evalueren.

Risicobereidheid & risicotoleranties

Het merendeel van de respondenten heeft risicotoleranties vastgesteld in overeenstemming met de risicobereidheid voor ICT-beveiliging, ICT-beschikbaarheid & continuïteit en ICT-uitbesteding.

Een aantal respondenten gaf aan geen risicotolerantiegrenzen te hebben gedefinieerd voor ICT-uitbesteding. Daarmee ontbreekt een basis om sturing te geven aan deze risico categorie en het nemen van adequate beheersmaatregelen. 

[....]