DNB: Verzekeraars voldoen nog niet aan lat voor beheersing operationele risico’s

December 3, 2024

Onder meer ziet DNB dat de beheersing van ICT- en uitbestedingsrisico’s verbetering behoeft. Met de inwerkingtreding van DORA per 17 januari 2025 die tot doel heeft de digitale weerbaarheid van de financiële sector te vergroten, worden de eisen voor de beheersing van deze risico’s Europees wettelijk verankerd.

Verder ziet DNB dat het risicomanagement ten aanzien van datakwaliteit in de verzekeringssector een aandachtspunt is. Dit blijkt uit onderzoeken, gesprekken en de sectorbrede uitvraag operationeel risicomanagement en informatiebeveiliging onder verzekeraars in 2024.

1) ICT-risicomanagement

ICT-risicomanagement is (op onderdelen) niet op het gewenste niveau

DNB constateert dat het risicomanagement rondom informatiebeveiliging en uitbestedingen in de verzekeringssector verbetering behoeft. Daarbij hoort enige nuance. Uit onze uitvragen en onderzoeken blijkt enerzijds dat een groot deel van de verzekeraars een volwassen ICT-risicomanagement proces volgt en dat ook kan aantonen. Anderzijds heeft een grote groep verzekeraars weliswaar een functionerend risicomanagement proces, maar zijn er op onderdelen tekortkomingen in de effectiviteit of aantoonbaarheid van dat proces.

Bij deze laatste groep zien we dat instellingen maatregelen treffen om hun ICT-risico’s te beheersen en nagaan of die maatregelen werken, zonder dat zij regelmatig evalueren in hoeverre hun maatregelen nog passen bij veranderende (cyber)dreigingen. Ook nemen deze verzekeraars (oorzaken van) operationele verstoringen of incidenten niet altijd aantoonbaar mee in hun evaluaties van de effectiviteit van maatregelen. Dit kan ertoe leiden dat maatregelen van instellingen ongemerkt verouderen en uiteindelijk onvoldoende opgewassen blijken te zijn tegen snel veranderende (cyber)dreigingen.

DNB benadrukt het belang van een gedegen risicomanagement proces dat in staat is om belangrijke risico’s te identificeren en mitigeren en de maatregelen regelmatig te testen en te evalueren, waarbij ook de uitbestedingsketen moet worden meegenomen.

Wat is DNB verder opgevallen op het gebied van ICT risico’s?

Uit de uitvraag en onderzoeken komt een aantal observaties naar voren die DNB hieronder nader toelicht.

Een aantal verzekeraars gebruikt kritieke IT-systemen die niet langer door leveranciers worden ondersteund. Uit de sectorbrede uitvraag blijkt dat 23% van de verzekeraars in hun IT-landschap gebruikmaken van kritieke systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates (legacy systemen). Hierdoor kunnen bekende kwetsbaarheden onopgelost blijven. Dat kan leiden tot misbruik door een kwaadwillende met een bedreiging voor de integriteit, beschikbaarheid en beveiliging van gegevens van verzekeraars en hun klanten.

De helft van de verzekeraars gaf aan dat het proces rondom datamanagement op onderdelen onvoldoende volwassen is. Dit betreft name de opslag- en retentieregelingen en het voldoen aan de beveiligingseisen voor datamanagement. Onvolwassenheid in deze processen kan leiden tot inefficiënte dataopslag en datalekken, wat de noodzaak benadrukt voor adequate procedures en technische maatregelen.

Het gebruik en beheer van (cryptografische) sleutels behoeft bij een aantal verzekeraars aanvullende aandacht. In de uitvraag gaf ongeveer een derde van de verzekeraars aan dat de processen rondom sleutelbeheer onvoldoende volwassen zijn. Om de integriteit, vertrouwelijkheid en authenticiteit van data nu en in de toekomst te waarborgen, mede gezien de ontwikkeling van quantum computing, is een gedegen sleutelbeheerproces van belang.

Quantum computing kan de huidige cryptografische methoden ondermijnen, waardoor het van belang is om regelmatig risicoanalyses uit te voeren en een passend  sleutelbeheerproces te implementeren. Dit omvat het regelmatig veranderen van cryptografische sleutels en het toepassen van de nieuwste beveiligingsprotocollen.