Bij de jaar­lijk­se uit­vraag door De Neder­land­sche Bank (“DNB”) naar niet-finan­ci­ë­le risico’s con­clu­deert DNB dat de infor­ma­tie­be­vei­li­ging bij pen­si­oen­fond­sen onvol­doen­de op orde is.

Onder meer gebrek aan kennis en beheer­sing van infor­ma­tie­be­vei­li­ging in de uit­be­ste­dings­ke­ten zijn pun­ten van zorg. Voor wat betreft infor­ma­tie­be­vei­li­ging in de uit­be­ste­dings­ke­ten zit 40% van de onder­zoch­te pen­si­oen­fond­sen niet op het niveau dat DNB ver­wacht. De pen­si­oen­sec­tor ziet het pro­bleem zelf ook: uit onder­zoek van DNB blijkt dat pen­si­oen­or­ga­ni­sa­ties cyber­cri­me als een groot inte­gri­teits­ri­si­co zien. Naast de sig­na­le­rin­gen van DNB blijkt de ernst van infor­ma­tie­be­vei­li­ging uit de groei van het aan­tal mel­din­gen van hac­king, mal­wa­re of phis­hing vol­gens de Auto­ri­teit Per­soons­ge­ge­vens (“AP”).[1] De ernst van infor­ma­tie­be­vei­li­ging blijkt ook weer uit de recen­te kwets­baar­heid die in Log4j – veel­ge­bruik­te soft­wa­re in webap­pli­ca­ties – gevon­den is.[2] Een orga­ni­sa­tie moet immers snel kun­nen scha­ke­len wan­neer zich een kwets­baar­heid voor­doet. Het is dan ook zaak voor pen­si­oen­fond­sen en -uit­voer­ders om haar inter­ne infor­ma­tie­be­vei­li­ging in kaart te bren­gen en waar nodig maat­re­ge­len te tref­fen – waar­on­der het opstel­len of aan­pas­sen van een infor­ma­tie­be­vei­li­gings­be­leid en het zor­gen voor draag­vlak voor dit beleid bin­nen de orga­ni­sa­tie.

 

Wet­te­lij­ke ver­plich­tin­gen en toe­zicht
De nood­zaak om infor­ma­tie­be­vei­li­ging op orde te heb­ben voor pen­si­oen­fond­sen blijkt niet alleen uit de markt­ont­wik­ke­lin­gen zoals volgt uit het onder­zoek van DNB en de AP en recen­te voor­beel­den zoals Log4j, maar ook uit de toe­na­me aan wet­te­lij­ke ver­plich­tin­gen en toe­zicht op dit gebied. In begin­sel volgt de plicht om infor­ma­tie­be­vei­li­ging op orde te heb­ben uit arti­kel 143 van de Pen­si­oen­wet: de plicht tot het inrich­ten van een beheerste en inte­ge­re bedrijfs­voe­ring. Daar­naast die­nen pen­si­oen­fond­sen op basis van de Alge­me­ne Ver­or­de­ning Gege­vens­be­scher­ming (“AVG”) pas­sen­de tech­ni­sche en orga­ni­sa­to­ri­sche maat­re­ge­len te tref­fen om een op het risi­co afge­stemd bevei­li­gings­ni­veau te waar­bor­gen. Ook treedt de Digi­tal Ope­ra­ti­o­nal Resi­lien­ce Act (“DORA”) (hoogst­waar­schijn­lijk) eind 2022 in wer­king. De DORA brengt even­eens ver­schil­len­de eisen met zich mee voor pen­si­oen­fond­sen op het gebied van infor­ma­tie­be­vei­li­ging. De DORA ver­plicht pen­si­oen­fond­sen onder meer tot het beschik­ken over inter­ne gover­nan­ce- en con­tro­le­ka­ders die een doel­tref­fend en pru­dent beheer van alle ICT-risico’s waar­bor­gen. Ook wordt het gebruik en onder­houd van geac­tu­a­li­seer­de ICT-sys­te­men ver­plicht gesteld, even­als het moni­to­ren en con­tro­le­ren van de wer­king van deze ICT-sys­te­men. Daar­naast intro­du­ceert de DORA de ver­plich­ting tot het mel­den van ICT-gere­la­teer­de inci­den­ten. Zowel de AVG als de DORA kun­nen tot sig­ni­fi­can­te boe­tes lei­den: gedacht mag wor­den aan boe­tes tot €10.000.000 of, indien hoger, 2% van de tota­le wereld­wij­de jaar­om­zet in het voor­gaan­de boek­jaar of aan een dwang­som van 1% van de wereld­wij­de gemid­del­de dag­om­zet in het voor­af­gaan­de boek­jaar.

 

Wat kan gedaan wor­den?
De groot­ste zorg ligt vol­gens DNB bij het gebrek aan kennis over infor­ma­tie­be­vei­li­ging, het alge­me­ne infor­ma­tie­be­vei­li­gings­ni­veau en beheer­sing van het infor­ma­tie­be­vei­li­gings­ni­veau in de uit­be­ste­dings­ke­ten. Wat kennis over infor­ma­tie­be­vei­li­ging betreft, moe­ten pen­si­oen­fond­sen de rol die de raad van bestuur en de raad van com­mis­sa­ris­sen speelt niet onder­schat­ten. Het is wen­se­lijk om in de raad van bestuur en de raad van com­mis­sa­ris­sen kennis van infor­ma­tie­be­vei­li­ging te bor­gen. Waar inter­ne kennis ont­breekt, is het aan te raden om de inter­ne kennis te ver­ho­gen mid­dels trai­nin­gen en om exter­ne kennis op het gebied van infor­ma­tie­be­vei­li­ging in te huren waar deze bin­nen het pen­si­oen­fonds niet aan­we­zig is. Exter­ne kennis op het gebied van infor­ma­tie­be­vei­li­ging kan ook hel­pen om het alge­me­ne bevei­li­gings­ni­veau op orde te bren­gen waar het dat nog niet is.

Daar­naast is het voor het pen­si­oen­fonds van belang om de risico’s rond­om infor­ma­tie­be­vei­li­ging in kaart te bren­gen als onder­deel van hun inte­gra­le risk mana­ge­ment pro­ces en de eigen risi­co­be­oor­de­ling van het fonds. Infor­ma­tie­be­vei­li­ging is één van de niet-finan­ci­ë­le risi­co­do­mei­nen (net als uitbestedingsrisico’s) die van­uit een cen­traal optiek beke­ken moe­ten wor­den om te bor­gen dat niet alleen de juis­te risico’s voor het pen­si­oen­fonds wor­den geï­den­ti­fi­ceerd maar dat ook de beno­dig­de miti­ge­ren­de maat­re­ge­len wor­den getrof­fen. Om te bor­gen dat niet alleen het alge­me­ne bevei­li­gings­ni­veau ver­hoogt maar ook de cyber weer­baar­heid op het gewens­te niveau blijft, is het van belang voor pen­si­oen­fond­sen om peri­o­die­ke tech­ni­sche en niet-tech­ni­sche tes­ten uit te voe­ren.

In een eer­der ver­sche­nen blog (zie hier­on­der) gaven wij al aan dat (onder)uitbesteding bij pen­si­oen­fond­sen meer aan­dacht ver­dient. Het heb­ben (of hou­den) van grip op infor­ma­tie­be­vei­li­ging door de betrok­ken uit­be­ste­dings­par­tij­en wordt alleen maar belang­rij­ker door de ver­wach­te inwer­king­tre­ding van DORA. Het is daar­om aan te raden om tij­dig de par­tij­en die betrok­ken zijn bij uit­be­ste­ding in kaart te bren­gen, inzicht te heb­ben op de gehe­le keten van uit­be­ste­ding, te con­tro­le­ren hoe in de keten de infor­ma­tie­be­vei­li­ging gere­geld is en om alvast nieu­we ver­plich­tin­gen op grond van de DORA bespreek­baar te maken.

 

[1] Cijfers datalekken 2020 | Autoriteit Persoonsgegevens.

[2] UPDATE: Installeer updates tegen ernstige kwetsbaarheid in Apache Log4j | Nieuwsbericht | Nationaal Cyber Security Centrum (ncsc.nl)