In december 2023 heeft DeNederlandscheBank (DNB) haar langverwachte Good Practice Informatiebeveiliging 2023 als opvolger van de Good Practice uit 2019/2020 uitgebracht. Het biedt onder toezicht staande instellingen in Nederland handvatten en beheersmaatregelen om hun informatiebeveiliging en cybersecurity op orde te krijgen en te houden. Oftewel, het biedt een instelling een kader om aan te tonen dat ze op het gebied van informatiebeveiliging en cybersecurity ‘in control’ is en blijft.

De veranderingen

Hoewel cybersecurity een vakgebied is dat continu in ontwikkeling is, is de huidige Good Practice niet heel veel veranderd ten opzichte van de versie uit 2019/2020. Ondanks dat er andere accenten zijn gelegd, is de Good Practice nog steeds vormgegeven vanuit hetzelfde model, heeft het dezelfde 9 elementen (zie verderop) en bevat het nog steeds 58 controls (beheersmaatregelen). Zie ook https://www.dnb.nl/nieuws-voor-de-sector/toezicht-2023/update-q-a-en-good-practice-informatiebeveiliging-de-belangrijkste-wijzigingen/. Hieronder zijn de belangrijkste wijzigingen kort toegelicht.

Verdere verdieping en aanscherping

Ten opzichte van de vorige versie kent de huidige versie een verdere verdieping en aanscherping, is er aandacht voor een risico-gebaseerde invulling per control, het uitvoeren van een business impact analyse (BIA), digitale operationele weerbaarheid, de rol van het bestuur van de instellingen, het aantoonbaar volgen van op hen toegesneden trainingen, een informatiebeveiligingsfunctie voor de instellingen, is sprake van extra voorbeelden voor het versterken van de samenwerking tussen instellingen en andere betrokken partijen, is er aandacht voor ‘Quantum Computing’ en zijn de volwassenheidsniveaus verduidelijkt.

Nadruk op de verantwoordelijkheid van het bestuur om ‘in control’ te zijn (en te blijven)

Wat van deze 10 belangrijkste wijzigingen het meest in het oog springt, is de nadruk op verantwoordelijkheid van het bestuur om ‘in control’ te zijn (en te blijven) op het gebied van informatiebeveiliging en cybersecurity. Dat betekent concreet dat het bestuur haar kennis op niveau brengt en houdt en dat ze informatiebeveiliging en cybersecurity bestuurlijk verankert. Tevens, en dat is in beginsel niet anders dan de vorige versie van de Good Practice, zorgt het bestuur ervoor dat ze aantoonbaar ‘in control’ is, ook waar het om uitbestede processen gaat. Want dat is eveneens een belangrijk aandachtspunt, de wijze waarop de instelling de (toenemende) ketenrisico’s beheerst.

Inbedding van internationle best practices

Daarnaast komt het stelsel van beheersmaatregelen uit de huidige Good Practice voort uit internationale standaarden, waaronder EIOPA Richtsnoeren, de Digital Operational Resilience Act (DORA), Cobit, ISO27000, NIST Cybersecurity Framework, de Zero Trust Architecture en The 18 CIS Security Controls. Kortom, met het inbedden van deze internationale best practices is gepoogd een robuust kader te ontwerpen voor de beheersing van de cyberrisico’s bij de instellingen. Dat was bij de vorige Good Practice ook al zo en de huidige Good Practice is bijgewerkt naar de actueelste standaarden.

Een vergelijking op hoofdlijnen

Op hoofdlijnen is in onderstaande tabel per element aangegeven wat de belangrijkste wijziging is ten opzichte van de vorige versie:

Element

DNB verstaat onder dit element:

Belangrijkste wijziging

GP 2009/2020 GP 2023
Governance Governance gaat over het geven van
strategische, tactische en operationele sturing
aan informatiebeveiliging en cybersecurity in overeenstemming met de strategie van de instelling, haar risicobereidheid en wet­ en regelgeving. Hierbij wordt rekening gehouden met de aard, omvang en complexiteit van de instelling.
Governance gaat over het op basis van een risicoanalyse geven van strategische, tactische en operationele sturing aan informatie­ beveiliging en cybersecurity in overeenstemming met de strategie van de instelling, de doelen uit de ICT­-strategie, haar risicobereid­heid en wet­ en regelgeving. Hierbij wordt rekening gehouden met de aard, omvang en complexiteit van de instelling. Meer gericht op de doelen van de instelling en het uitvoeren van een risicoanalyse en het verwerken van de uitkomsten daarvan.
Organization Het is belangrijk dat taken ten aanzien van informatie­beveiliging en cybersecurity eenduidig binnen de instelling zijn belegd en dat activiteiten op dit gebied in overeenstemming zijn met de strategie van de instelling, haar risicobereidheid en met wet­ en regelgeving. De taken ten aanzien van informatiebeveiliging en cybersecurity zijn eenduidig binnen de instelling belegd en activiteiten op dit gebied zijn in overeenstemming met de strategie van de instelling, haar risicobereidheid en met wet­ en regelgeving. Geen belangrijke wijzigingen in wat DNB van instellingen verwacht ten aanzien van dit element.
People and Knowlegde Het is belangrijk dat alle medewerkers, externe inhuur en dienstverleners bekend zijn met het informatiebeveiligingsbeleid van de instelling, hun verantwoordelijkheden kennen en kunnen werken volgens dit beleid en de risicotoleranties van de instelling. Alle medewerkers, externe inhuur en dienstverleners zijn bekend met het informatiebeveiligingsbeleid van de instelling, kennen hun verantwoordelijkheden en kunnen werken volgens dit beleid en de risicotoleranties van de instelling.

 

Ondanks dat aan het element de term ‘Knowledge’ is toegevoegd, kent dit element voor wat betreft DNB ervan verwacht geen belangrijke wijzigingen.
Processes Processen geven richting aan een beheerste bedrijfsvoering en zijn noodzakelijk bij de beheersing van de risico’s op het gebied van informatiebeveiliging en cybersecurity. Processen geven richting aan een beheerste bedrijfsvoering en zijn noodzakelijk bij de beheersing van de risico’s op het gebied van informatiebeveiliging en cybersecurity. Geen belangrijke wijzigingen in wat DNB van instellingen verwacht ten aanzien van dit element.
Technology Informatiebeveiliging en cybersecurity krijgen mede vorm door het treffen van technische maatregelen.

 

Informatiebeveiliging en cybersecurity krijgen mede vorm door het treffen van technische beheersmaatregelen. Geen belangrijke wijzigingen in wat DNB van instellingen verwacht ten aanzien van dit element.
Facilities Onder dit element verstaat DNB onder andere dat toegang tot informatie ook fysiek is beveiligd, denk hierbij aan maatregelen die de toegang tot kantoorgebouwen en datacenters beperken.

 

Onder dit element verstaat DNB onder andere dat toegang tot informatie ook fysiek is beveiligd, denk hierbij aan beheersmaatregelen die de toegang tot gevoelige locaties zoals het terrein, kantoorgebouwen, de datacentra, bekabeling en thuiswerklocaties beschermen en (milieu)dreigingen beperken (zoals stroomstoringen, brand en waterschade). DNB geeft meer invulling aan wat ze verwacht van fysieke beveiliging en richt zich daarbij ook bescherming tegen milieugevaren.
Outsourcing DNB ziet dat instellingen in toenemende mate belangrijke bedrijfsprocessen zoals ICT, vermogens­beheer, klanten­, pensioen­, polis­ en financiële administraties uitbesteden (Outsourcing). Tegenover de voordelen van uitbesteding staan ook risico’s waar een instelling zich aan blootstelt. In het kader van de informatiebeveiliging en cybersecurity is dat bijvoorbeeld de ongewenste omgang van de dienstverlener met vertrouwelijke gegevens van de instelling. Ook bestaat het risico dat de beveiliging van vertrouwelijke gegevens niet in overeenstemming is met het interne beleid als gevolg van onderuitbesteding door de dienstverlener. DNB ziet dat instellingen in toenemende mate kritieke of belangrijke bedrijfsprocessen zoals ICT, vermogensbeheer, klanten­, pensioen­, polis­ en financiële administraties uitbesteden (Outsourcing). Tegenover de voordelen van uitbesteding staan ook risico’s waar een instelling zich aan blootstelt. In het kader van de informatiebeveiliging en cyber­ security is dat bijvoorbeeld de ongewenste omgang van de dienstverlener met vertrouwelijke gegevens van de instelling. Ook bestaat het risico dat de beveiliging en continuïteit van vertrouwelijke gegevens en systemen niet in overeenstemming is met het interne beleid als gevolg van onderuitbesteding door de dienstverlener. Ondanks dat “kritieke” (bedrijfsprocessen) en “continuïteit” (van vertrouwelijke gegevens) is toegevoegd aan de beschrijving van wat DNB verwacht van instellingen, heeft dit element verder geen belangrijke wijzigingen ondergaan.
Testing Onderzoek toont aan dat het (laten) uitvoeren van Security testing effectief is om informatiebeveiliging en cyberweerbaarheid van instellingen continu
te verbeteren. Security testing kan zich richten op verschillende elementen uit het model van deze Q&A. Een test kan bijvoorbeeld zijn gericht op zwakheden in de infrastructuur (Technology), maar ook op menselijke gedrag en menselijk handelen (People) of op zwakke plekken in de toegang tot gebouwen (Facilities). De scope van Security testing kan zich richten op de interne organisatie, maar kan ook de belangrijke uitbestedingen meenemen.
Onderzoek toont aan dat het (laten) uitvoeren van Security testing effectief is om informatiebeveiliging en cyberweerbaarheid van instellingen continu te verbeteren. Security testing kan zich richten op verschillende elementen uit het model van deze Q&A. Een test kan bijvoorbeeld zijn gericht op zwakheden in de infrastructuur (Technology), maar ook op menselijke gedrag en menselijk handelen (People) of op zwakke plekken in de toegang tot gebouwen (Facilities). De scope van Security testing kan zich richten op de interne organisatie, maar kan ook de kritieke of belangrijke uitbestedingen meenemen. Ondanks dat “kritieke” (uitbestedingen) is toegevoegd aan de beschrijving van wat DNB verwacht van instellingen, heeft dit element verder geen belangrijke wijzigingen ondergaan.
Risk Management Cycle De Risk Management Cycle is van toepassing op alle elementen uit het model. Het is belangrijk dat de instelling regelmatig de voor haar relevante risico’s op het gebied van informatiebeveiliging en cybersecurity identificeert en analyseert. Op grond van deze risicoanalyse bepaalt de instelling haar reactie, treft maatregelen om risico’s te beperken en accepteert (tijdelijk) eventuele restrisico’s. Geaccepteerde restrisico’s worden periodiek opnieuw geëvalueerd en opnieuw ter acceptatie aangeboden. De Risk Management Cycle is van toepassing op alle elementen uit het model. Het is belangrijk dat de instelling regelmatig de voor haar relevante risico’s op het gebied van informatiebeveiliging en cybersecurity identificeert en analyseert. Op grond van deze risicoanalyse bepaalt de instelling haar reactie, treft beheersmaat­regelen om risico’s te beperken en accepteert (tijdelijk) eventuele restrisico’s. Geaccepteerde restrisico’s worden periodiek opnieuw geëvalueerd en opnieuw ter acceptatie aangeboden. Geen belangrijke wijzigingen in wat DNB van instellingen verwacht ten aanzien van dit element.

Zoals uit bovenstaande tabel blijkt, is geen sprake geweest van hele grote wijzigingen ten opzichte van de vorige versie van de Good Practice. In toekomstige blogs zal meer in detail worden ingegaan op de verschillende elementen en de daarbij van toepassing zijnde beheersmaatregelen.

Wees ‘in control’

Als bestuurder is het in de nieuwe versie nog belangrijker om in control te zijn over de informatiebeveiliging van jouw bedrijf. Audit & Risk Solutions biedt een cursus aan waarin u een introductie krijgt in de belangrijkste begrippen en onderwerpen van het vakgebied informatiebeveiliging en cybersecurity. Ook leert u meer over de inhoud en de toepassing van de DNB Good Practice.
Bekijk de cursuspagina voor meer informatie

2 van 32