AFM doet cybersecurity aanbevelingen aan kapitaalmarktsector
De Autoriteit Financiële Markten (AFM) heeft aanbevelingen gedaan voor verbeteringen in ICT-beveiligingsmaatregelen voor de kapitaalmarktsector. Dit volgt uit een verdiepend onderzoek naar de volwassenheid van ICT-beveiligingsmaatregelen, gebaseerd op het self-assessment van kapitaalmarktinstellingen uit 2022.
Het onderzoek richtte zich op een selectie van instellingen en een subset van beveiligingsmaatregelen. Hoewel er geen significante tekortkomingen zijn geconstateerd, zijn er wel enkele aandachtspunten naar voren gekomen. De belangrijkste aanbevelingen zijn:
- Uitgebreid ICT-risicoregister opstellen:
Instellingen worden geadviseerd een compleet ICT-risicoregister op te stellen. Dit register bevat alle uitgevoerde risicoanalyses, inclusief inherente en restrisico’s, en de daarbij behorende verbeterplannen. De opzet en diepgang van de onderzochte risicoregisters varieert, waardoor het lastig is om te bepalen of alle risico’s adequaat worden aangepakt.
- Cyberaanval-scenario’s opnemen in bedrijfscontinuïteitstesten:
Het testen van scenario’s voor cyberaanvallen, zoals ransomware-aanvallen, is essentieel voor het herstelvermogen van een instelling. Deze scenario’s zijn echter niet altijd opgenomen in bedrijfscontinuïteitstesten.
- Adequaat servicelevel management bij uitbesteding binnen de groep:
Instellingen die deel uitmaken van een internationale groep en ICT-diensten binnen deze groep uitbesteden, moeten ook voor intra-groep diensten servicelevel management inrichten. In sommige gevallen was dit minder formeel geregeld dan bij externe uitbestedingen.
Voorbereiding op DORA
Daarnaast moeten instellingen zich voorbereiden op de Digital Operational Resilliance Act (DORA), die uniforme eisen stelt aan de beveiliging van netwerk- en informatiesystemen van financiële sectorbedrijven. De implementatie van DORA is gepland op 17 januari 2025, waarbij instellingen moeten voldoen aan alle vereisten uit de verordening.
Lees het volledige artikel: https://www.afm.nl/nl-nl/sector/actueel/2024/april/aanbevelingen-ict-beveiliging-kapitaalmarkten