De verordening bevat allereerst een algemeen kader waarbinnen financiële ondernemingen verplicht worden om maatregelen te nemen om ICT-risico’s te beheersen (artikelen 5 tot en met 16). Zo dient de financiële onderneming onder andere kaders op te stellen om ICT-risico’s te beheersen, ervoor te zorgen dat zij adequate ICT-systemen gebruikt en deze goed te onderhouden, beschermings- en preventiemaatregelen te nemen waar nodig en continuïteitsplannen op te stellen en deze regel-matig te actualiseren.
Voor een aantal ondernemingen, die een relatief laag risico vormen voor het financiële stelsel, is er vanuit het oogpunt van proportionaliteit een vereenvoudigd kader voor ICT-risicobeheer opgesteld.
Vervolgens worden financiële ondernemingen verplicht om ernstige ICT-gerelateerde incidenten te melden bij de bevoegde autoriteit, en hiervoor systemen op te zetten waarmee incidenten gemonitord, vastgelegd en geclassificeerd worden (artikelen 17 tot en met 23).
Financiële ondernemingen dienen daarnaast periodiek de digitale weerbaarheid te testen op paraatheid, eventuele zwaktes en tekortkomingen (artikelen 24 tot en met 27). Alle financiële ondernemingen zullen hierbij jaarlijks hun ICT-systemen dienen te testen op een bepaald basisniveau, waarbij significante instellingen, die worden aangewezen door de bevoegde autoriteiten, ook minimaal eens per drie jaar geavan-ceerde ethische hacktesten op basis van actuele dreigingsinformatie zullen ondergaan, zogenaamde «Threat Led Penetration Testing» (TLPT).
Vervolgens worden er bepalingen geïntroduceerd ten aanzien van het beheer van ICT-risico’s van derde partijen die ICT-diensten aanbieden aan financiële ondernemingen (artikelen 28 tot en met 30). Financiële ondernemingen die gebruik maken van de diensten van bepaalde derde partijen (bijv. clouddienstverleners) zullen onder andere het functioneren van deze diensten, en de eventuele bijkomende risico’s die deze diensten kunnen vormen voor de kernprocessen van de financiële onderneming, in kaart moeten brengen en blijven monitoren. Om deze monitoring effectief uit te kunnen voeren dienen bepaalde aspecten van de dienstverlening en de relatie tussen dienstverlener en financiële onderneming vastgelegd te worden in contractuele afspraken. Deze bevatten bijvoorbeeld afspraken over de locaties waar persoonlijke data wordt verwerkt en exit-strategieën als de financiële onderneming wil overstappen van aanbieder. Naast gestandaardiseerde contractclausules zullen ook vrijwillige clausules worden ontwikkeld, specifiek voor clouddienstverleners.
Financiële ondernemingen dienen daarnaast te voorkomen dat er concentratierisico’s ontstaan door een te grote afhankelijkheid van bepaalde dienstverleners voor het uitvoeren van kritische processen.
Bron: Rijksoverheid
Fintool
Telefoon 085 - 111 89 99
Telefax 085 - 111 88 80
E-mail: info@fintool.nl
KvK 27256668