Afgelopen vrijdag raakte een internationale computerstoring 8,5 miljoen computers. De computerstoring veroorzaakt door problemen bij het Amerikaanse cyberbeveiligingsbedrijf Crowdstrike had gevolgen voor onder andere banken, winkels, vliegenvelden en ziekenhuizen. Hoewel het geen actie van kwaadwillenden lijkt te zijn, maar een fout in een software-update, maakt deze computerstoring de wereldwijde afhankelijkheid van IT goed zichtbaar. Ook de financiële sector wordt steeds afhankelijker van technologische oplossingen. Dit zorgt voor een grotere kwetsbaarheid voor cyberaanvallen en incidenten.
Wie is de zwakste schakel?
Afwegingen rondom cybersecurity en informatiebeveiligingen leiden ertoe dat steeds vaker wordt gekozen voor het uitbesteden van kritieke processen aan derde partijen. Deze partijen hanteren veelal hoge normen rondom cyberveiligheid en leveren hiervoor het bewijs middels assurance verklaringen of bepaalde certificeringen. Echter, cybercriminelen zoeken naar de zwakste schakel in de keten en regelmatig met succes. In 2022 heeft 5% van de Nederlandse verzekeraars, pensioenfondsen, PUO’s en PPI’s te maken gehad met ongeautoriseerde toegang tot IT-systemen en gegevens door kwaadwillenden.
Risico’s en de beheersing van de risico’s kan je niet uitbesteden
Heb je als uitbestedende partij wel voldoende zicht op de gehele keten? Tot in hoeverre vallen onderuitbestedingen (subcontractors) in de scope van de assurance verklaring? Voldoen de subcontractors wel aan dezelfde hoge normen van cyberveiligheid? Wat zijn de afspraken met betrekking tot onderhoud van de systemen?
Digital Operational Resilience Act (DORA) van kracht
Om ICT-risicomanagement en digitale weerbaarheid in de gehele financiële sector te verbeteren is sinds 2023 de Digital Operational Resilience Act (DORA) van kracht. Financiële instellingen hebben tot 17 januari 2025 de tijd om aan deze Europese Verordening te voldoen. Eén van de thema’s waar DORA veel aandacht voor heeft is third party risk, zo stelt DORA eisen aan:
Meer weten over DORA en hoe je dit kan implementeren in jouw organisatie? Neem dan contact met ons op.
Klaske Visser
Senior Manager Financial Services
T: +31 6 12 88 74 72
Comments