Volgens de Digital Operational Resilience Act (DORA) is een verzekeraar verplicht na te gaan of een ICT leverancier beschikt over een security awareness trainingsprogramma. Om inzichtelijk te krijgen welke onderwerpen opgenomen zouden moeten zijn in een security awarenesstraining heeft een aantal verzekeraars, verenigd in de Insurance ISAC, een gezamenlijke lijst opgesteld met de meest belangrijke onderwerpen die in ieder geval aan bod zouden moeten komen.
De eerste versie in Word en PDF vind je hier. Wanneer nodig wordt de lijst geactualiseerd.
Voor wie is de vragenlijst bedoeld?
De lijst is allereerst bedoeld als hulpmiddel voor verzekeraars/afnemers om trainingen voor leveranciers te beoordelen en wellicht ook voor aanbieders, om trainingen mee vorm te geven.
Vragenlijst leveranciersselectie Informatiebeveiliging
Eerder stelde ISAC de vragenlijst leveranciersselectie Informatiebeveiliging op. Het Verbond beveelt het gebruik van deze lijst van harte aan. Ook bij deze lijst met de belangrijkste elementen bij cybersecurity awareness trainingen geldt: hoe meer verzekeraars de lijst gebruiken, hoe herkenbaarder deze wordt voor leveranciers. En hoe groter de kans is dat de lijst daadwerkelijk bijdraagt aan betere informatiebeveiliging in de sector. Met behulp van de Word-versie kun je een eigen logo/format hanteren.
Verbeterpunten?
Heb je verbetersuggesties voor de lijst? Verzamel deze en deel ze met de CISO binnen jouw organisatie, zodat dit in de Insurance ISAC besproken kan worden. Of neem contact op met de secretaris van de ISAC.
Was dit nuttig?