Verzekeraars voldoen nog niet aan de lat voor de beheersing van operationele risico’s

Onder meer ziet DNB dat de beheersing van ICT- en uitbestedingsrisico's verbetering behoeft. Met de inwerkingtreding van DORA per 17 januari 2025 die tot doel heeft de digitale weerbaarheid van de financiële sector te vergroten, worden de eisen voor de beheersing van deze risico's Europees wettelijk verankerd.

Verder ziet DNB dat het risicomanagement ten aanzien van datakwaliteit in de verzekeringssector een aandachtspunt is. Dit blijkt uit onderzoeken, gesprekken en de sectorbrede uitvraag operationeel risicomanagement en informatiebeveiliging onder verzekeraars in 2024.

1) ICT-risicomanagement

ICT-risicomanagement is (op onderdelen) niet op het gewenste niveau

DNB constateert dat het risicomanagement rondom informatiebeveiliging en uitbestedingen in de verzekeringssector verbetering behoeft. Daarbij hoort enige nuance. Uit onze uitvragen en onderzoeken blijkt enerzijds dat een groot deel van de verzekeraars een volwassen ICT-risicomanagement proces volgt en dat ook kan aantonen. Anderzijds heeft een grote groep verzekeraars weliswaar een functionerend risicomanagement proces, maar zijn er op onderdelen tekortkomingen in de effectiviteit of aantoonbaarheid van dat proces, zie figuur 1. Bij deze laatste groep zien we dat instellingen maatregelen treffen om hun ICT-risico's te beheersen en nagaan of die maatregelen werken, zonder dat zij regelmatig evalueren in hoeverre hun maatregelen nog passen bij veranderende (cyber)dreigingen. Ook nemen deze verzekeraars (oorzaken van) operationele verstoringen of incidenten niet altijd aantoonbaar mee in hun evaluaties van de effectiviteit van maatregelen. Dit kan ertoe leiden dat maatregelen van instellingen ongemerkt verouderen en uiteindelijk onvoldoende opgewassen blijken te zijn tegen snel veranderende (cyber)dreigingen.

© DNB

Figuur 1 - Percentage instellingen in de sector Verzekeren dat op de drie onderdelen van ICT-risicomanagement onder de gewenste lat rapporteert.

DNB benadrukt het belang van een gedegen risicomanagement proces dat in staat is om belangrijke risico's te identificeren en mitigeren en de maatregelen regelmatig te testen en te evalueren, waarbij ook de uitbestedingsketen moet worden meegenomen.

Wat is DNB verder opgevallen op het gebied van ICT risico's?

Uit de uitvraag en onderzoeken komt een aantal observaties naar voren die DNB hieronder nader toelicht.

Een aantal verzekeraars gebruikt kritieke IT-systemen die niet langer door leveranciers worden ondersteund. Uit de sectorbrede uitvraag blijkt dat 23% van de verzekeraars in hun IT-landschap gebruikmaken van kritieke systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates (legacy systemen). Hierdoor kunnen bekende kwetsbaarheden onopgelost blijven. Dat kan leiden tot misbruik door een kwaadwillende met een bedreiging voor de integriteit, beschikbaarheid en beveiliging van gegevens van verzekeraars en hun klanten.

De helft van de verzekeraars gaf aan dat het proces rondom datamanagement op onderdelen onvoldoende volwassen is. Dit betreft name de opslag- en retentieregelingen en het voldoen aan de beveiligingseisen voor datamanagement, zie figuur 2. Onvolwassenheid in deze processen kan leiden tot inefficiënte dataopslag en datalekken, wat de noodzaak benadrukt voor adequate procedures en technische maatregelen.

Het gebruik en beheer van (cryptografische) sleutels behoeft bij een aantal verzekeraars aanvullende aandacht. In de uitvraag gaf ongeveer een derde van de verzekeraars (zie figuur 2) aan dat de processen rondom sleutelbeheer onvoldoende volwassen zijn. Om de integriteit, vertrouwelijkheid en authenticiteit van data nu en in de toekomst te waarborgen, mede gezien de ontwikkeling van quantum computing, is een gedegen sleutelbeheerproces van belang. Quantum computing kan de huidige cryptografische methoden ondermijnen, waardoor het van belang is om regelmatig risicoanalyses uit te voeren en een passend sleutelbeheerproces te implementeren. Dit omvat het regelmatig veranderen van cryptografische sleutels en het toepassen van de nieuwste beveiligingsprotocollen.

© DNB

Figuur 2 - Percentage instellingen in de sector Verzekeren dat op de onderdelen datamanagement, (cryptografisch) sleutelbeheer en life cycle management onder de gewenste lat rapporteert.

Onveranderlijke back-ups zijn niet de sectorbrede standaard. DNB heeft in 2024 bij enkele verzekeraars verdiepend onderzoek gedaan naar hun operationele veerkracht na een impactvolle cyberaanval. Bijvoorbeeld na een ransomware aanval waarbij de gehele IT-omgeving door een kwaadwillende is versleuteld. Uit deze onderzoeken komt naar voren dat onveranderlijke back-ups een belangrijke technische maatregel zijn om de bedrijfsvoering te kunnen voortzetten na een impactvolle aanval. Een dergelijke of vergelijkbare maatregel blijkt niet bij alle onderzochte instellingen te zijn ingeregeld. Tegelijkertijd dient een instelling zich ook voor te bereiden op hoe te handelen en naar de betrokkenen te communiceren om te kunnen herstellen uit een situatie dat de IT-systemen gedurende een langere tijd niet beschikbaar zijn, bijvoorbeeld omdat het herstel na een impactvolle cyberaanval complex en tijdrovend kan zijn. Het onderzoek wijst uit dat verzekeraars nog onvoldoende oefenen met een dergelijk scenario. DNB vindt het belangrijk dat verzekeraars back-up procedures en maatregelen treffen die passend zijn bij het kritieke karakter van de processen en dat deze regelmatig worden getest.

2) Uitbestedingsrisico's

Een groot aantal verzekeraars heeft onvoldoende zicht en grip op haar kritieke uitbestedingsketens.

Uit de uitvraag komt naar voren dat de verzekeraars ten opzichte van vorig jaar hun uitbestedingen beter monitoren qua prestaties en interne beheersing. Desalniettemin voldoet een groot aantal verzekeraars niet aan het gewenste niveau voor de beheersing van de uitbestedingsrisico's.

Het belangrijkste aandachtspunt bij deze groep is dat er onvoldoende informatie is over de risicobeheersing van alle kritieke dienstverleners in de kritieke uitbestedingsketens. Dit wordt met name veroorzaakt doordat:

• kritieke onderaannemers niet in zicht zijn;
• risicoanalyses niet voorafgaand aan de uitbesteding zijn uitgevoerd en/of niet periodiek worden herhaald;
• met (een groot deel van de) kritieke dienstverleners geen afspraken zijn gemaakt over eisen aan informatiebeveiliging;
• bij (een groot deel van) de kritieke dienstverleners niet is getoetst in hoeverre het Business Continuity Plan voldoet aan de eisen van de verzekeraar en op werking is getest.

Door onvoldoende zicht op de (onder)uitbestedingsketens en de locatie van dataopslag ontstaan risico's die kunnen leiden tot onverwachte verstoringen van kritieke bedrijfsprocessen en diefstal of verlies van kritieke of vertrouwelijke data.

DNB vindt het belangrijk dat verzekeraars hun kritieke uitbestedingsketens kennen, registreren, monitoren en jaarlijks evalueren. Daarbij dient gewaarborgd te worden dat de maatregelen omtrent informatiebeveiliging en Business Continuity Management bij de dienstverleners in deze ketens voldoen aan de eigen beleidslijnen.

3) Datakwaliteit

Een deel van de verzekeraars rapporteert tekortkomingen met betrekking tot de beheersing van datakwaliteit.

DNB constateert dat ten opzichte van vorig jaar meer verzekeraars beschikken over een datakwaliteitsbeleid, een gedocumenteerde risicobereidheid en rapportages over datakwaliteit. Desondanks heeft ongeveer 40% van de verzekeraars haar beheersing ten aanzien van datakwaliteit nog niet op orde. De oorzaken zijn voornamelijk:

• Ontbreken van of onvolledige risicomanagementcyclus. Ruim de helft van de verzekeraars heeft een onvolledige risicomanagementcyclus uitgevoerd op het gebied van datakwaliteit, waaronder het identificeren van kritieke data-elementen, het uitvoeren van een risicoanalyse en het monitoren van de beheersmaatregelen inzake datakwaliteit. De helft van deze categorie verzekeraars heeft deze risicomanagementcyclus in het geheel niet uitgevoerd.

Daarnaast constateert DNB dat bij ruim een kwart van de verzekeraars geen periodieke managementinformatie aanwezig is over datakwaliteit. Daar waar deze managementinformatie wel beschikbaar is, ontbreekt in veel gevallen informatie over datakwaliteit incidenten, worden de uitkomsten niet vergeleken met de risicobereidheid of ontbreekt een onafhankelijke opinie van de risicomanagement- en/of compliance functie.

• Verouderd of onvolledig datakwaliteitsbeleid. In veel gevallen is het datakwaliteitsbeleid verouderd of er ontbreken in het beleid richtlijnen voor de identificatie en afhandeling van datakwaliteit incidenten, het onderscheid tussen kritieke en niet kritieke data-elementen en richtlijnen voor de toepassing van End Using Computing.
• De End-User Computing (EUC) toepassingen zijn onvoldoende in beeld. Ruim een derde van de verzekeraars heeft geen zicht op de EUC toepassingen binnen de organisatie, omdat een centrale registratie ontbreekt. Het gebruik van EUC-toepassingen brengt potentieel een verhoogd risico mee voor de datakwaliteit, waarvoor de benodigde beheersmaatregelen moeten worden getroffen.

Het risico van onvoldoende beheersing van datakwaliteit is dat dit onjuiste besluitvorming tot gevolg kan hebben, bijvoorbeeld door onjuiste stuurinformatie aan het management en onjuistheden in wettelijke rapportages.

DNB vindt het belangrijk dat verzekeraars een gedegen risicomanagement cyclus rondom datakwaliteit opzetten en uitvoeren, een up-to-date datakwaliteit beleid voeren en dat EUC toepassingen in beeld hebben en risico's rond het gebruik daarvan monitoren en beheersen.

Toezicht op DORA en Cyber in 2025

DNB geeft in 2025 in haar toezicht onder meer aandacht aan de hierboven genoemde aandachtspunten. DNB zal voor eind april van 2025 het informatieregister op vragen met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten. Tegelijkertijd is het noodzakelijk dat instellingen een proces hebben ingericht voor het melden van majeure ICT-incidenten, dat voldoet aan de DORA-eisen. Risicogebaseerd zal DNB onderzoeken in hoeverre de beheersing van digitale operationele weerbaarheid overeenkomt met de vereisten in DORA. In het bijzonder zal DNB in 2025 aandacht vragen voor awarenessprogramma's en actuele kennis op zowel bestuur als medewerkersniveau met betrekking tot dit onderwerp, IT-continuïteit, het beheersen van ICT risico's bij derde aanbieders, en de ICT risicomanagement cyclus.

DNB verwacht dat verzekeraars hun risico's op gebied van informatiebeveiliging, uitbesteding en datakwaliteit adequaat beheersen in lijn met de voor hen geldende wet- en regelgeving.

Ontdek gerelateerde artikelen