Uit de ‘sectorbrede analyse informatiebeveiliging 2023’ van De Nederlandsche Bank (DNB) onder Nederlandse verzekeraars blijkt dat de expliciete kennis – en hun rol daarin – van bestuurders en (interne) toezichthouders voor een gedegen (IT) risk management meer aandacht nodig heeft. Het gaat daarbij onder meer om het vaststellen van een risk appetite op het gebied van cyberrisico’s en restrisico’s, Verder is het van belang dat bestuurders en (interne) toezichthouders van verzekeraars de beheersmaatregelen voortdurend evalueren en verbeteren op basis van een actueel dreigingsbeeld.
De drie belangrijke uitkomsten van de analyse van DNB zijn:
1) Business continuity maatregelen zijn onvoldoende getest
De eerste uitkomst is dat grote verzekeraars in Nederland meer aandacht besteden dan kleinere verzekeraars aan het inrichten en testen van hun business continuity-maatregelen. Zo zou slechts een op de drie kleinere verzekeraars dergelijke tests hebben uitgevoerd in 2022. Hieraan nog meer aandacht besteden draagt volgens DNB bij aan de veerkracht van hun operationele bedrijfsvoering.
DNB benadrukt daarbij het belang van een grondige voorbereiding op zowel operationele als (cyber)calamiteiten en verwacht dat alle verzekeraars hun maatregelen regelmatig testen. Bij het uitvoeren van testen is het van belang dat ook kritieke en belangrijke uitbestedingsrelaties worden betrokken. Die relaties zijn nu veelal geen onderdeel van de testen.
2) De implementatie van kritieke beveiligingspatches is verbeterd
Uit de analyse blijkt verder dat verzekeraars meer aandacht besteden aan beheerst en versneld implementeren van kritieke beveiligingspatches ten opzichte van het voorgaande jaar. De gemiddelde implementatietijd is nu 6,3 dagen. Dit is een verbetering ten opzichte van de 7,7 dagen in het voorgaande jaar. Dit is volgens DNB een goede ontwikkeling, omdat uit diverse dreigingsbeelden naar voren komt dat juist direct na het uitkomen van een kritieke beveiligingspatch, het aantal (geslaagde) hacks toeneemt. De onderlinge verbondenheid van IT-systemen in uitbestedingsketens vergroot bovendien de kans op een geslaagde aanval of verstoring naarmate kwetsbaarheden langere tijd open staan.
3) Risk management is niet bij alle verzekeraars voldoende volwassen
Uit de sectorbrede analyse informatiebeveiliging 2023 blijkt ten slotte dat de verankering van IT en cyberweerbaarheid in de gehele risicomanagement cyclus achterblijft. Bij verzekeraars die op dit vlak achterblijven dringt DNB daarom aan op aantoonbare beheersing van hun informatiebeveiligingsrisico’s.
Bron: DNB
