0:00
IT
Artikel

Nieuwe richtlijnen IT en Security Risk Management: tijd voor een self assessment

5 min

Heerlijk verlaten kantoren (nu meer dan ooit), geen ‘dringende’ e-mails of telefoontjes van collega’s en een lege agenda. De vakantieperiode staat weer voor de deur! Eindelijk tijd om wat achterstallig werk weg te werken. Geen beter moment om de beleidsdocumenten, risk assessments en werking van mitigerende maatregelen onder de loep te nemen. Perfecte timing van de toezichthouder voor het in werking laten treden van nieuwe richtlijnen op het gebied van IT en Security Risk Management.

‘Nieuwe’ EBA guidelines

European Banking Authority (EBA) heeft afgelopen jaar de ‘Guidelines on ICT and security risk management’ aan de markt geconsulteerd. Deze richtlijnen voor kredietinstellingen, beleggingsondernemingen en betaaldienstverleners zullen vanaf 30 juni 2020 van kracht worden. De regels worden overgenomen door DNB en de AFM, en worden door deze laatste gezien als een verdere invulling van haar principes voor informatiebeveiliging. DNB geeft aan dat betaaldienstverleners al aan vergelijkbare richtlijnen moesten voldoen. Met de komst van de EBA guidelines vallen kredietinstellingen, beleggingsondernemingen en betaaldienstverleners nu allen onder dezelfde regels. De ‘Guidelines on ICT and security risk management’ moeten in samenhang gezien worden met EBA’s guidelines op het gebied van uitbestedingen en cloudactiviteiten.

Op het eerste gezicht bevatten de voorgeschreven richtlijnen geen nieuwe onderwerpen. De vraag rijst dan ook hoe nieuw deze ‘nieuwe’ richtsnoeren daadwerkelijk zijn. En of de gehele IT en Security Risk management cycle aangepast moet gaan worden. EBA’s guidelines behandelen de volgende onderwerpen:

  • Governance & Strategy;
  • ICT & Risk Management Framework;
  • Information Security;
  • ICT Operations Management;
  • ICT Project and Change Management;
  • Business Continuity Management;
  • Payment Service User Relationship Management.

Het laatste punt zijn de specifieke vereisten voor Payment Service Providers.

Alle items zijn uitgewerkt met diverse criteria die moeten terugkomen bij een organisatie. Tenminste, in een proportionele vorm gezien de aard, omvang, complexiteit en het risicogehalte van de interne organisatie en de diensten en producten die de instelling verstrekt.

Tijd voor een self assessment?

Omdat dit de leidende richtlijnen zijn, ook voor de toezichthouders, zal dit kader ook gebruikt worden om de mate van compliance te beoordelen van een organisatie. Een inventarisatie of self-assessment is dan ook geen overbodige luxe. Maar wie heeft daar nu tijd voor…

Als Risk & Security consultant heb ik het voordeel om dedicated bezig te mogen zijn met het reviewen en verbeteren van risk & security aspecten van een organisatie. Ik leg het bestaande beleid van organisaties naast een framework, en vergelijk deze om te zien of alle elementen die gevraagd worden ook daadwerkelijk in het beleid voorkomen. Voor fulltime risk managers en security officers is het een ander verhaal. Zij worden opgeslokt door de waan van de dag. Tijd om een dag(deel) achter elkaar te besteden aan het reviewen van beleid is er vaak niet.

Twee vliegen in één klap

Mijn advies: plan deze werkzaamheden toch gewoon in en sla twee vliegen in één klap! Hoogstwaarschijnlijk staat ook in uw organisatiebeleid vermeld dat het beleid, de risicoanalyse en het daar aan gekoppelde plan minimaal één keer per jaar gereviewd moeten worden. De praktijk is vaak flexibeler qua termijn en volledigheid van de review, maar met de in werking treding van de EBA Guidelines is dit het moment om de capaciteit of het budget te claimen om dit ook werkelijk te doen. Na de review en het doorvoeren van aanpassingen in het beleid, kan er een vinkje gezet worden bij de jaarlijkse evaluatie én is aan te tonen dat u als organisatie de EBA Guidelines toegepast heeft.

Vergeet niet voldoende tijd voor deze exercitie in te plannen. Het reviewen van het beleid is slechts de start. Daarna volgt de risicoanalyse waarbij waarschijnlijk veel geschakeld moet worden met de business, met name als het nieuwe onderwerpen betreft.

Dus nu de zomer voor de deur staat: print ouderwets de EBA guidelines uit, neem ze mee op vakantie en blokkeer een extra week in je werkagenda bij terugkomst. Succes en fijne vakantie!

Meer weten over IT Compliance?

Lees onze cyber security tips en het artikel over de lessen die we kunnen leren van een grootschalige cyberaanval op een Noors staatsfonds.

Wilt u weten of uw organisatie voldoet aan de EBA Guidelines? Charco & Dique kan u helpen met een review van het beleid, maar ook ondersteuning bieden bij diverse uitvoerende taken van IT Risk & Security Management. Neem gerust contact met ons op voor de mogelijkheden.

Contact