Verzekeraars verwerken meer en meer data. Goede informatiebeveiliging is cruciaal. Het Verbond ondersteunt zijn leden om de beveiliging naar een hoger plan te tillen.
Zo helpen wij verzekeraars door de organisatie van themadagen en publicaties om op de hoogte te blijven van belangrijke ontwikkelingen over databeveiliging. Daarnaast faciliteren wij samenwerking tussen leden op non-concurrentiële aspecten. Bijvoorbeeld door het delen van dreigingsinformatie of met een tool om het cyberrisico van IT-leveranciers in kaart te brengen. Tot slot voeren wij gesprekken met toezichthouders en wetgevers over nieuwe regels en wetten rondom cyberrisico. Zo reageren wij, in samenspraak met leden, op consultaties van toezichthouders.
In de Wet op het financieel toezicht (art. 3:17) staat dat instellingen moeten beschikken over adequate procedures en maatregelen ter beheersing van IT-risico’s. Dat artikel wordt uitgewerkt in guidelines van toezichthouders. De belangrijkste daarvan is de Good practice informatiebeveiliging van DNB met daarin 58 controls.
Daarnaast is er, met ingang van 16 januari 2023, de Digital Operational Resilience Act (DORA), per 16 januari 2023 van kracht en treedt vanaf 17 januari 2025 in werking. Omdat DORA een verordening is, hoeft deze niet omgezet te worden in Nederlandse wetgeving, maar is direct van kracht. Wel moeten er onder de wet nog diverse Regulatory Technical Standards worden gemaakt door de European Supervisory Agencies. Hoewel nog niet helemaal duidelijk is wat inhoudelijk het verschil is tussen de huidige en toekomstige situatie, is al wel helder dat in deze nieuwe wet de vereisten afdwingbaar zijn.
We kunnen dus in de komende jaren verwachten dat, net als bij de AVG, rechters zich gaan buigen over details. En dat jurisprudentie de precieze verplichtingen voor verzekeraars gaat bepalen. Daarmee wordt informatiebeveiliging iets dat niet meer ‘alleen’ van de IT-afdeling is (voor zover het dat al was), maar ook iets waar juristen zich mee bezighouden. Op die manier zullen uitspraken van rechters uit andere Europese lidstaten ook voor Nederlandse bedrijven gevolgen hebben. En andersom.
De voornaamste toezichthouder op informatiebeveiliging in de verzekeringssector is vooralsnog DNB.
Het Computer Emergency Response Teams (i-CERT) levert een operationele bijdrage aan de cyberveiligheid van de verzekeringssector. Dit team valt onder het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond en bestaat, naast medewerkers van het CBV, uit een poule van specialisten van grote verzekeraars. Het i-CERT informeert en adviseert verzekeraars zo snel mogelijk over actuele cyberbedreigingen en coördineert waar nodig collectieve acties . Hierbij wordt nauw samengewerkt met CERT’s in andere bedrijfstakken en cyber security instanties zoals het Digital Trust Center (DTC).
Naast het i-CERT dat hierboven is beschreven, is er een platform voor Chief Information Security Officers (CISO’s) van verzekeraars. Het Insurance Information Sharing and Analysis Centre (Insurance-ISAC) jaagt kennisdeling op een meer tactisch, beleidsmatig en strategisch niveau aan en draagt daarmee bij aan een digitaal veilige bedrijfsvoering. Waar het i-CERT operationele samenwerking faciliteert en vormgeeft, draagt de Insurance-ISAC ook bij aan beleidsontwikkeling en belangenbehartiging voor de sector.
Het platform is van plan om de komende jaren te werken aan twee thema’s: inzicht in het cyberrisico van derde partijen (leveranciers) en ransomware readiness. Het eerste punt wordt opgepakt door het uniformeren van de vragenlijsten waarmee verzekeraars het cyberrisico van deze partijen in kaart brengen. Ransomware readiness bevorderen we door gezamenlijk te oefenen, maar ook door te zien of het Verbond leden kan ondersteunen in geval van een hack, bijvoorbeeld door een contract te sluiten met een partij die in zo'n geval gebeld kan worden.
Klik hier voor de tools:
Publicaties van het Verbond
