Beheersen van operationele risico’s in de pensioensector behoeft aandacht

1) ICT-risicomanagement

Evalueren & continu verbeteren

Uit de uitvraag komt naar voren dat bij ca. 20% van de respondenten het risicomanagementproces rondom informatiebeveiliging verdere verbetering behoeft. Los van verbeterpunten die per instelling specifiek kunnen zijn, ziet DNB dat de meeste instellingen hun ICT-risicomanagementprocessen hebben ingericht en dat die processen ook operationeel zijn. Tegelijkertijd kunnen niet alle fondsen en uitvoeringsorganisaties aantonen dat hun ICT-risicomanagement processen daadwerkelijk bijdragen aan een betere beheersing van hun ICT- en cyberrisico's. DNB verwacht dat instellingen dat wel kunnen aantonen.

Onder DORA is vereist dat financiële instellingen hun kader voor ICT-risicobeheer en hun beheersing van uitbestedingen voortdurend verbeteren op basis van lessen die uit de uitvoering en de monitoring naar voren komen. Tevens dienen zij hun kader ten minste eenmaal per jaar aantoonbaar te evalueren.

Risicobereidheid & risicotoleranties

Het merendeel van de respondenten heeft risicotoleranties vastgesteld in overeenstemming met de risicobereidheid voor ICT-beveiliging, ICT-beschikbaarheid & continuïteit en ICT-uitbesteding.

Een aantal respondenten gaf aan geen risicotolerantiegrenzen te hebben gedefinieerd voor ICT-uitbesteding. Daarmee ontbreekt een basis om sturing te geven aan deze risico categorie en het nemen van adequate beheersmaatregelen.

In DORA is opgenomen dat het leidinggevend orgaan van een financiële entiteit verantwoordelijk is voor het beheer van het ICT-risico, waaronder begrepen het vaststellen en goedkeuren van een kader voor ICT risicobeheer en een strategie voor digitale operationele weerbaarheid met inbegrip van de bepaling van het passende risicotolerantieniveau voor het ICT-risico van de financiële entiteit.

Pensioenfondsen en in het verlengde daarvan hun pensioenuitvoeringsorganisaties, zullen na moeten gaan in hoeverre zij risicotoleranties hebben bepaald en of vastgestelde risicotoleranties adequaat worden toegepast om aantoonbaar sturing te geven aan hun digitale operationele weerbaarheid.

2) Volwassenheid van informatiebeveiliging

Uit de uitvraag komt naar voren dat de respondenten de volwassenheid van hun fundamentele beheersmaatregelen op het gebied van informatiebeveiliging en cyberweerbaarheid nog niet in de volle breedte kunnen aantonen. Hier geldt dat er verschillen zijn tussen individuele pensioenfondsen en pensioenuitvoeringsorganisaties en dat verbeterpunten doorgaans instelling specifiek zijn. DNB ziet dat vooral maatregelen rondom business continuity management, configuration management en security testing door een deel van de respondenten onvoldoende volwassen zijn ingericht.

DNB benadrukt dat deze onderwerpen onder DORA wettelijke vereisten zijn en essentieel zijn voor een beheerste en veerkrachtige bedrijfsvoering.

Een generiek aandachtspunt is het gebruik van kritieke ICT-systemen die niet langer door leveranciers worden ondersteund, ook wel legacy systemen genoemd. Een deel van de respondenten (14%) geeft aan afhankelijk te zijn van dergelijke legacy systemen. Mogelijk leidt dat tot een verhoogde kwetsbaarheid voor cyberdreigingen.

Daarnaast blijkt dat 14% van de respondenten in 2024 langer dan 10 dagen nodig had om kritieke patches te installeren. Wij zien in dreigingsanalyses dat de tijd tussen het bekend worden van een kwetsbaarheid en het misbruik daarvan steeds verder afneemt, mede door de komst van AI die door hackers steeds vaker wordt gebruikt. Het tijdig en continu patchen van kwetsbaarheden wordt daardoor steeds belangrijker.

Deze aandachtspunten onderstrepen het belang van een actief en risicogebaseerd beheer van kwetsbaarheden om daarmee de digitale weerbaarheid van de pensioensector verder te versterken.

DNB vindt het, in lijn met DORA, belangrijk dat financiële instellingen goed in kaart brengen welke cyberdreigingen en ICT-kwetsbaarheden van invloed kunnen zijn op hun belangrijkste bedrijfsprocessen en ICT-systemen. Het installeren van patches dient een gecontroleerd en beheerst proces te volgen, waarbij instellingen risicogebaseerd bepalen of tijdelijke maatregelen nodig zijn om de periode te overbruggen tussen de ontdekking van een kwetsbaarheid en het oplossen (patching) van de kwetsbaarheid. DORA vereist ook dat financiële entiteiten regelmatig en ten minste eenmaal per jaar een specifieke ICT-risicobeoordeling op alle legacy-ICT-systemen moeten verrichten.

3) Uitbestedingsrisico's

Uit DNB onderzoek blijkt dat een groot aantal instellingen nog onvoldoende inzicht en controle heeft op hun kritieke uitbestedingsketens. Belangrijke tekortkomingen zijn doorgaans: het ontbreken van een volledige risicoanalyse voorafgaand aan uitbesteding, het ontbreken van meetbare afspraken over informatiebeveiliging met dienstverleners en onvoldoende toetsing van business continuity plannen bij derde partijen.

DNB benadrukt, in lijn met DORA, het belang dat financiële instellingen hun kritieke uitbestedingsketens kennen, registreren, structureel aantoonbaar monitoren en jaarlijks evalueren. Daarbij dient gewaarborgd te worden dat maatregelen omtrent informatiebeveiliging en business continuity management bij alle kritieke dienstverleners in deze ketens voldoen aan de eigen beleidslijnen. Zo wordt voorkomen dat zwakke schakels ontstaan die de digitale weerbaarheid van het pensioenfonds kunnen ondermijnen.

Toezicht op informatiebeveiliging en cyberweerbaarheid in 2026

Naar aanleiding van de uitvraag ontvingen de respondenten eerder dit jaar al een terugkoppeling door middel van een benchmarkrapportage. DNB verwacht dat pensioenfondsen en pensioenuitvoeringsorganisaties continu actief identificeren welke verbeteracties nodig zijn om blijvend te voldoen aan wet- en regelgeving, waaronder DORA.

DNB blijft in het toezicht aandacht besteden aan de cyberweerbaarheid van de onder haar toezicht staande instellingen, zoals is gecommuniceerd in de Visie op Toezicht 2025-2028.

DNB zal de jaarlijkse uitvraag voor de pensioen- en verzekeringssector naar informatiebeveiliging met ingang van het eerste kwartaal 2026 baseren op de DORA-regelgeving voor alle instellingen die onder de reikwijdte van DORA vallen. Meer daarover kunt u lezen onder Vragenlijst SBA-Cyberweerbaarheid voor de pensioen- en verzekeringssector gepubliceerd.

Ontdek gerelateerde artikelen

Delen: