AFM publiceert principes voor informatiebeveiliging
Kort voor de feestdagen heeft de AFM principes voor informatiebeveiliging gepubliceerd. Met de principes geeft de AFM aan wat zij op basis van de geldende regelgeving verwacht van financiële ondernemingen op het gebied van informatiebeveiliging. De principes geven daarmee handvatten voor de inrichting van de bedrijfsorganisatie op de beheersing van de informatierisico’s.
De principes gaan onder meer om de beveiliging tegen cyberrisico’s, beveiliging van persoonsgegevens en het in controle zijn bij uitbesteding van processen en systemen. In totaal gaat het om 11 principes die in algemene termen zijn geformuleerd en daarmee van toepassing op alle betrokken marktpartijen, ongeacht de omvang van de onderneming en het type dienstverlening.
Door toenemende digitalisering van de financiële sector en samenwerking in de keten is aandacht voor informatiebeveiliging van toenemend belang. De AFM zal in het kader van toezicht in 2020 daar ook extra aandacht aan besteden. Wij zijn met de AFM in gesprek om aandacht te vragen voor een goede vertaalslag van de principes naar de dagelijkse praktijk van adviseurs en bemiddelaars. Een goed begrip bij de toezichthouder van de praktijk van advieskantoren is hiervoor van belang.
Proportioneel
De AFM heeft zowel in de principes zelf als in het feedbackstatement aangegeven dat de principes proportioneel mogen worden toegepast dus:
- naar aard van de dienstverlening,
- naar omvang van de onderneming en
- in lijn met de relevante risico’s en dreigingen.
Dat neemt niet weg dat de principes ook op kleine partijen van toepassing zijn. Adfiz heeft nadrukkelijk in de consultatie aandacht gevraagd voor proportionele toepassing van de principes en in het feedbackstatement gaat de AFM hier op in.
Uitkomsten Marktmonitor informatiebeveiliging
In 2018 vroeg de AFM instellingen uit over informatiebeveiliging. Een belangrijke bevinding daaruit is dat onder grote ondernemingen (>25fte) 31% geen informatiebeveiligingsbeleid heeft. Bijgaande infographic geeft kernachtig de conclusie van de AFM weer. In de principes voor informatiebeveiliging heeft de AFM aangegeven wat zij van marktpartijen verwacht.
Informatie op het Adfiz extranet
De onderdelen van de principes zijn niet nieuw. Op het Adfiz extranet kun je hierover al veel informatie en tools terugvinden.
- Kennisdossier cyberrisico’s: Informatie over onder meer beveiliging tegen cyberrisico’s
- Kennisdossier privacy: beveiliging persoonsgegevens
- Wft Portaal: informatie over de inrichting van de bedrijfsorganisatie
Op basis van de opzet van de principes en de verschillende onderdelen daarin zullen wij komende tijd de informatie op het Wft portaal, waar nodig, aanvullen en inrichten zodat je deze eenvoudig op één plek bij elkaar kunt terugvinden.