0:00
Artikel
AFM IT Security

Meldplicht voor IT Security incidenten?

9 min leestijd
Niels Huijpen
Reinier Schipper

Bestaat er een meldplicht voor IT security incidenten (informatiebeveiligingsincidenten)? Deze vraag krijgen wij als consultants regelmatig van onze klanten. Met name naar aanleiding van een sectorbrief die de Autoriteit Financiële Markten (AFM) in december 2020 uitbracht. In dit artikel lichten wij de brief van de AFM toe. Dit doen we aan de hand van onze zienswijze met betrekking tot het verplichte karakter van de meldplicht. Daarnaast gaan we in op de vereisten omtrent de omgang met informatiebeveligingsincidenten en hoe u deze in uw organisatie kunt implementeren.

 

Inhoudsopgave

  1. Verwarring verplichte karakter meldplicht
  2. Ook meldplicht voor incidenten rondom beheerste bedrijfsvoering
  3. Praktische handvatten
  4. Identificeren/monitoren
  5. Beoordelen
  6. Melden
  7. Wanneer melding maken?
  8. Tot slot
  9. Meer weten?

Verwarring verplichte karakter meldplicht

Vlak voor kerst 2020 heeft de AFM een brief verstuurd en gepubliceerd op haar website waarin zij oproept tot het melden van integriteits- en informatiebeveiligingsincidenten. De toezichthouder geeft hierin specifiek aan dat het gaat om de wettelijke meldplicht van incidenten die ‘een ernstige bedreiging voor de beheerste en integere bedrijfsvoering vormen’.

Door deze laatste passage is in de sector verwarring ontstaan. Met name omdat de wettelijke meldplicht uitsluitend ziet op incidenten die betrekking hebben op de integere bedrijfsvoering en niet ook op de beheerste bedrijfsvoering. Deze meldingsplicht is in 2003 in de financiële toezichtsregelgeving opgenomen als onderdeel van een pakket regelgeving dat met name zag op integriteitstoezicht. Hoewel dit inmiddels alweer 18 jaar geleden is, en de sectorale wetgeving al lang geleden is overgegaan in de Wet op het financieel toezicht (Wft), is het incidentbegrip al die tijd ongewijzigd gebleven.  De definitie van incident van artikel 1 Bgfo laat weinig ruimte voor twijfel over de reikwijdte: “gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van een financiële onderneming”.

Ook meldplicht voor incidenten rondom beheerste bedrijfsvoering

In de sectorbrief van december 2020 rekt de AFM het incidentenbegrip op naar incidenten op het gebied van beheerste bedrijfsvoering. Het verplicht moeten melden van dergelijke bedrijfsvoeringsincidenten zien wij als nieuw. Zeker op het vlak van informatiebeveiligingsmeldingen. De meldplicht is namelijk niet terug te vinden in een wettelijk kader of in de principes voor informatiebeveiliging die de AFM eind 2019 heeft gepubliceerd.

Ondanks het ontbreken van een deugdelijk wettelijk kader is de wens van de AFM voor een meldplicht van informatiebeveligingsincidenten begrijpelijk en goed te verdedigen. Misschien niet voor alle gevallen van ‘installatie van malware’ of ‘dreigingen van DDOS-aanvallen[1]’, maar wel als bijvoorbeeld de digitale veiligheid van consumenten/klanten in het geding is geweest. Het is belangrijk dat de AFM dergelijke signalen ontvangt, zodat zij proactief actie kan ondernemen ter mitigering van bedreigingen en best practices met de sector kan delen om zo de impact van incidenten beperkt te houden. Momenteel ontbreekt het inzicht in de sectorbrede bedreigingen nog.

[1] Een Distributed Denial of Service (DDOS) aanval is een poging om een computer/website/netwerk of (digitale)dienst onbeschikbaar te maken doordat meerde computer op hetzelfde moment een aanval uitvoeren zodat een overbelasting ontstaat van het systeem.

Praktische handvatten

Het is dus logisch om ernstige informatiebeveiligingsincidenten die de beheerste bedrijfsvoering raken ook te melden aan de AFM. Maar welke handvatten zijn er om dit te doen? Wij raden u aan om allereerst te kijken of er een proces ingericht is voor dit soort incidenten. De AFM principes voor informatiebeveiliging stellen dat incidenten bekend moeten zijn bij het management/bestuur, maar ook dat medewerkers op de hoogte zijn hoe meldingen gedaan kunnen worden. Met andere woorden: organisaties moeten ‘in control’ zijn van hun beheerste bedrijfsvoering.

Ongeacht de aard, omvang en complexiteit van uw organisatie zullen de onderdelen uit de volgende figuur ingericht moeten zijn. De mate van inrichting kan wel verschillen per organisatie. Soms zijn deze elementen goed te combineren met bijvoorbeeld het datalek/privacy incidentenproces of compliance incidenten proces. De cyclus hieronder is dan ook generiek opgesteld en zal wellicht herkenbaar zijn.

Identificeren/monitoren

Het monitoren of identificeren van informatiebeveligingsincidenten kan variëren van een medewerker die beseft dat hij of zij een phishing mail heeft ontvangen, tot aan geavanceerde monitoringssoftware op vreemde login activiteiten. De inrichting is afhankelijk van de organisatie en bijvoorbeeld welke IT-diensten zijn uitbesteed.

Beoordelen

Het is aan te raden om een meldingsprocedure in te richten en deze goed te communiceren naar de medewerkers. Ook hier kunt u zo ver gaan als u zelf wilt. U kunt speciale meldingsformulieren ontwerpen, maar ook kan worden volstaan met het opnemen van de meldingsprocedure (wie meldt aan wie) door deze op te nemen in het informatiebeveiligingsbeleid of compliance manual. Het belangrijkste is dat de registratie van incidenten geborgd is, zodat de incidenten op een gestructureerde wijze beoordeeld kunnen worden.

Het beoordelen van de incidenten moet gericht zijn op:

  • het stoppen van het incident;
  • het beperken van de negatieve impact;
  • het herstellen van de schade; en
  • het communiceren hierover[1].

Dit zijn de zaken die direct opgepakt moeten worden nadat een medeweker een incident heeft gemeld. Daarna vindt de analyse van het incident plaats, waarbij gezocht wordt naar de onderliggende oorzaak. Dit wordt ook wel de ‘root cause analysis’ genoemd. Hieruit kan volgen dat er aanvullende mitigerende maatregelen genomen moeten worden om een volgend incident te voorkomen, of dat reeds bestaande maatregelen inefficiënt blijken te zijn.

[1] Zie ook het principe ‘response en herstel’ als principe 9 van de principes voor informatiebeveiliging van de AFM.

Melden

Het is gebruikelijk (en wenselijk!) om de conclusies van de analyse te delen met de directie. Aangezien de incidenten nu geregistreerd zijn, is het ook eenvoudig een Excel overzicht bij te houden van voorgedane incidenten, de afhandeling, oorzaken, etc. Hier is goed de brug te slaan naar de brief van de AFM en de details die zij gemeld willen zien over het incident, namelijk:

  • Een omschrijving van het incident;
  • De datum waarop het incident plaatsvond;
  • De datum van ontdekken van het incident;
  • Indien van toepassing: het aantal klanten van de onderneming dat getroffen is door het incident;
  • Indien van toepassing: de (geschatte) omvang van de schade;
  • Wat de onderneming doet/heeft gedaan om het incident te beheersen;
  • Welke maatregelen de onderneming treft om toekomstige gelijksoortige incidenten te voorkomen.

 

Al met al logische items om in de registratie op te nemen voor zover ze er al niet in stonden. Dit zijn in ieder geval de items die meegenomen moeten worden in een eventuele melding.

Wanneer melding maken?

Welke informatiebeveiligingsincidenten precies gemeld kunnen worden aan de AFM hangt af van de aard ervan en de schade voor de organisatie en cliënten. Wij adviseren een eenvoudige classificatie aan te brengen in het soort incidenten naar gelang de (potentiële) impact, bijvoorbeeld laag – medium – hoog – onacceptabel, of iets dergelijks. In de definitie van de classificatie kan dan bij hoog en onacceptabel gedacht worden aan incidenten die een impact hebben op de beheerste bedrijfsvoering, integriteit/betrouwbaarheid van de klantdata of de continuïteit van de organisatie.

Incidenten met een lage impact, zoals het ontvangen van een phishing mails, achten wij niet meldenswaardig. Incidenten die mogelijk een bedreiging kunnen zijn voor de sector zoals ransomware-attacks, serieuze hack pogingen (zeker op accounts van cliënten) en geslaagde DDOS aanvallen, adviseren wij wel te melden bij de AFM, ook al is de wettelijke grondslag van deze meldingsplicht beperkt. Het melden is onderdeel van wat beschreven staat in AFM’s principe 9 ‘response en herstel’. Hou hierbij dan ook de het moment van de melding aan de AFM in de gaten. Voor integriteitsincidenten is dit ‘onverwijld’. Dit betekent vrijwel direct na ontdekking, ongeacht of er nog een onderzoek gaande is. Het is efficiënt om eenzelfde timing te hanteren voor de hoog en onacceptabele informatiebeveiligingsincidenten en de AFM (en/of DNB!) op de hoogte te stellen ongeacht of de ‘aanval’ nog gaande is.

Voor hen die ook onder toezicht van de DNB vallen, zijn er tegenwoordig de ‘EBA Guidelines on ICT and security risk management’ waar in hoofdstuk 3.5.1 het gehele ‘incident & problem management’ staat beschreven. Hierin staat wel expliciet dat een mogelijke melding aan de ‘supervising authorities’ verplicht is, maar met de nuance naar proportionaliteit.

Tot slot

In dit artikel heeft u kunnen lezen wat het standpunt van de AFM en die van Charco & Dique is met betrekking tot de wettelijke verplichting tot het melden van incidenten die een ernstige bedreiging voor de integere en beheerste bedrijfsvoering vormen. Door naar de wettelijke definitie te kijken van ‘incident’, komen wij tot de conclusie dat deze meldplicht voor de beheerste bedrijfsvoering geen wettelijke grondslag kent, maar wel nuttig kan zijn in een aantal ernstige gevallen van informatiebeveiligingsincidenten. Daarom is in dit artikel een pragmatisch invulling gegeven aan het interne en externe meldings- en afhandelingsproces van informatiebeveligingsincidenten die aansluit bij de huidige wet- en regelgeving.

Meer weten?

Heeft u hulp nodig bij het melden van integriteits- of informatiebeveiligingsincidenten? Onze IT Compliance specialisten bieden graag ondersteuning bij diverse facetten van informatiebeveiliging en risicobeheersing. Neem gerust contact met ons op.

Contact

Bekijk ook dit

4 publicaties

Nieuwe richtlijnen IT en Security Risk Management: tijd voor een self-assessment

Niels Huijpen
5 min leestijd

DORA maakt een einde aan de versnippering van wetten op het gebied van IT Compliance

Niels Huijpen
7 min leestijd

Wachter in de mist: de toezichtagenda 2021 van de AFM

Eric de Vries
5 min leestijd

Grote cyberaanval op Noors staatsfonds: lessons learned

Niels Huijpen
6 min leestijd

Schrijf ons

Of vraag een vrijblijvend adviesgesprek aan

Contact Adviesgesprek aanvragen

Door op 'toestaan' te klikken ga je akkoord met het plaatsen van cookies voor statistische-, functionele- en marketingdoeleinden.

Cookiebeleid
Toestaan Niet toestaan