Omdat verzekeraars meer en meer data verwerken, is goede informatiebeveiliging cruciaal. Ze zorgt voor weerbaarheid tegen externe dreiging en vergroot het vertrouwen van consumenten en stakeholders in de sector. Om de beveiliging naar een hoger plan te tillen, ondersteunt het Verbond zijn leden. Hoe? Dat vind je op deze webpagina.
Zo helpen wij verzekeraars door de organisatie van themadagen en publicaties om op de hoogte te blijven van belangrijke ontwikkelingen over databeveiliging. Daarnaast faciliteren wij samenwerking tussen leden op non-concurrentiële aspecten. Bijvoorbeeld door het delen van dreigingsinformatie of met een tool om het cyberrisico van IT-leveranciers in kaart te brengen. Tot slot voeren wij gesprekken met toezichthouders en wetgevers over nieuwe regels en wetten rondom cyberrisico. Zo reageren wij, in samenspraak met leden, op consultaties van toezichthouders.
Actueel
Wetgeving en toezicht
Guidelines
In de Wet op het financieel toezicht (art. 3:17) staat dat instellingen moeten beschikken over adequate procedures en maatregelen ter beheersing van IT-risico’s. Dat artikel wordt uitgewerkt in guidelines van toezichthouders. De belangrijkste daarvan is de Good practice informatiebeveiliging van DNB met daarin 58 controls.
DORA
Daarnaast is er, met ingang van 16 januari 2023, de Digital Operational Resilience Act (DORA), per 16 januari 2023 van kracht en treedt vanaf 17 januari 2025 in werking. Omdat DORA een verordening is, hoeft deze niet omgezet te worden in Nederlandse wetgeving, maar is direct van kracht. Wel moeten er onder de wet nog diverse Regulatory Technical Standards worden gemaakt door de European Supervisory Agencies. Hoewel nog niet helemaal duidelijk is wat inhoudelijk het verschil is tussen de huidige en toekomstige situatie, is al wel helder dat in deze nieuwe wet de vereisten afdwingbaar zijn.
We kunnen dus in de komende jaren verwachten dat, net als bij de AVG, rechters zich gaan buigen over details. En dat jurisprudentie de precieze verplichtingen voor verzekeraars gaat bepalen. Daarmee wordt informatiebeveiliging iets dat niet meer ‘alleen’ van de IT-afdeling is (voor zover het dat al was), maar ook iets waar juristen zich mee bezighouden. Op die manier zullen uitspraken van rechters uit andere Europese lidstaten ook voor Nederlandse bedrijven gevolgen hebben. En andersom.
Toezicht
De voornaamste toezichthouder op informatiebeveiliging in de verzekeringssector is vooralsnog DNB.
i-CERT
Het Computer Emergency Response Teams (i-CERT) levert een operationele bijdrage aan de cyberveiligheid van de verzekeringssector. Dit team valt onder het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond en bestaat, naast medewerkers van het CBV, uit een poule van specialisten van grote verzekeraars. Het i-CERT informeert en adviseert verzekeraars zo snel mogelijk over actuele cyberbedreigingen en coördineert waar nodig collectieve acties . Hierbij wordt nauw samengewerkt met CERT’s in andere bedrijfstakken en cyber security instanties zoals het Digital Trust Center (DTC).
Insurance-ISAC
Naast het i-CERT dat hierboven is beschreven, is er een platform voor Chief Information Security Officers (CISO’s) van verzekeraars. Het Insurance Information Sharing and Analysis Centre (Insurance-ISAC) jaagt kennisdeling op een meer tactisch, beleidsmatig en strategisch niveau aan en draagt daarmee bij aan een digitaal veilige bedrijfsvoering. Waar het i-CERT operationele samenwerking faciliteert en vormgeeft, draagt de Insurance-ISAC ook bij aan beleidsontwikkeling en belangenbehartiging voor de sector.
Het platform is van plan om de komende jaren te werken aan twee thema’s: inzicht in het cyberrisico van derde partijen (leveranciers) en ransomware readiness. Het eerste punt wordt opgepakt door het uniformeren van de vragenlijsten waarmee verzekeraars het cyberrisico van deze partijen in kaart brengen. Ransomware readiness bevorderen we door gezamenlijk te oefenen, maar ook door te zien of het Verbond leden kan ondersteunen in geval van een hack, bijvoorbeeld door een contract te sluiten met een partij die in zo'n geval gebeld kan worden.
Tools en ondersteuning
- Responsible Disclosure | Het Verbond en het Nationaal Cyber Security Centrum (NCSC) hebben een handreiking opgesteld voor het invoeren van een Responsible Disclosure-beleid door verzekeraars. Dat geeft zogeheten ethische hackers duidelijke spelregels over het op verantwoorde wijze vinden en melden van ICT-kwetsbaarheden bij verzekeraars.
- Vragenlijst leveranciersselectie informatiebeveiliging | De lijst is allereerst bedoeld voor verzekeraars die een bepaalde leverancier overwegen en een eerste inschatting willen maken van de beveiligingsvolwassenheid. Daarnaast is de lijst bedoeld voor leveranciers, die willen weten welke meest belangrijke eisen verzekeraars qua informatiebeveiliging stellen, zodat zij in een keer kunnen nagaan of zij voldoen aan deze set en vervolgens gefundeerde antwoorden kunnen geven aan verschillende verzekeraars.
Word-versie en pdf.-versie - Webinars en bijeenkomsten | Het Verbond organiseert met regelmatig bijeenkomsten en webinars over voor verzekeraars relevante ontwikkelingen over informatiebeveiliging. De afgelopen jaren is daarin bijvoorbeeld stilgestaan bij best practices rondom cyber security awareness, het omgaan met vragen van toezichthouders en nieuwe Europese wet- en regelgeving.
- Third party risk management | In 2023 ontwikkelde het Verbond een checklist voor assurance verklaringen. In 2024 publiceerde het Verbond een eerste overzicht met de belangrijkste aspecten van security awareness trainingen.
- Oefeningen | Het Insurance Information Sharing and Analysis Centre (Insurance-ISAC) heeft eind 2022 in nauw overleg met DNB een eerste table top-oefening uitgevoerd bij een leverancier waar veel verzekeraars mee werken.
- Verzamelen dreigingsinformatie | Het Verbond werkt via het i-CERT nauw samen met overheidsinstanties en andere partijen die over actuele en specifieke dreigingsinformatie beschikken. Het doel van deze samenwerking is dat verzekeraars dit soort informatie zo snel mogelijk ontvangen om tijdige, adequate maatregelen te kunnen treffen.
Klik hier voor de tools: