Cyberbedreigingen en -incidenten vormen een groot risico voor bedrijven die actief zijn in de financiële sector. De Autoriteit voor Financiële Diensten en Markten (FSMA) heeft in een mededeling van 2 oktober 2019 enkele basisprincipes uiteengezet voor het beheer van deze risico's. Op die manier wil de FMSA bedrijven sensibiliseren en hen de basisprincipes inzake het beheer van cybersecurityrisico's bijbrengen.
De FSMA heeft samen met het centrum voor cybersecurity België (CCB), de nationale autoriteit belast met de opvolging en coördinatie van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, enkele basisprincipes gepubliceerd die bedrijven moeten helpen bij de implementatie van cybersecuritymaatregelen. Hoewel de mededeling van de FSMA in de eerste plaats gericht is aan bedrijven die onder haar toezicht staan, kunnen de principes voor alle bedrijven een houvast bieden bij het beheer van hun cybersecurityrisico's.
Cybersecurity als prioritair aandachtspunt
De FSMA moedigt bedrijven aan om hun informatiebeveiligingsbewustzijn en hun organisatorische en technische cybersecuritymaatregelen naar een hoger niveau te tillen en als prioritair aandachtspunt te behandelen. Zij verwacht dat bedrijven noodzakelijke maatregelen nemen om cyberrisico's te beheren en dat zij die maatregelen, in het licht van de meest recente technieken en best practices, regelmatig herzien en bijwerken.
In het bijzonder verwacht de FSMA dat directies en hogere leidinggevenden hun verantwoordelijkheid nemen voor het cybersecurityrisico en dit hoog op de agenda plaatsen. Die leidinggevenden moeten volgens de FSMA de juiste en meest geavanceerde maatregelen nemen om de cyberweerbaarheid van hun bedrijf te verbeteren en daadkrachtig belangrijke zaken ter hand nemen, zoals het op elkaar afstemmen van de IT- en bedrijfsstrategie, het uitbesteden van risicobeheer, change management en cybersecuritybeheer.
Beheer van cybersecurityrisico's
Volgens de FSMA is een doeltreffend beheer van cybersecurityrisico's gebaseerd op vier principes:
1. Beveiligingsstrategie en –ondersteuning
De FMSA spoort bedrijven ten eerste aan om een Cyber Incident Response Plan op te stellen. Dat plan identificeert de maatregelen die nodig zijn om cyberincidenten te voorkomen en om adequaat te reageren als er zich een incident voordoet.
Een doeltreffend Cyber Incident Response Plan:
- is opgebouwd rond de meest gangbare rampscenario's;
- omvat alle noodzakelijke maatregelen zodat bedrijven hun activiteiten na een incident snel, veilig en met accurate data kunnen hervatten; en
- zorgt ervoor dat bedrijven adequaat en snel kunnen communiceren met alle betrokken partijen, zoals binnen het bedrijf opgerichte Cyber Incident Response Teams, bevoegde (gerechtelijke) autoriteiten, de Gegevensbeschermingsautoriteit en klanten.
De FSMA benadrukt het belang van bewustwording binnen de hele onderneming, met inbegrip van de bijkantoren of verkooppunten, onder meer omdat zij als eersten vragen van bezorgde klanten zullen ontvangen.
2. Inventarisatie van de informatiemiddelen en risicoanalyse
Ten tweede benadrukt de FSMA dat bedrijven hun infrastructuur en ondersteunende informatiemiddelen moeten inventariseren op volgorde van prioriteit:
- wat zijn de kritieke operaties en vitale assets van het bedrijf die moeten worden beschermd?
- welke ondersteunende informatiemiddelen worden hiervoor gebruikt?
- welke gegevens zijn het gevoeligst?
In het kader van dit risicobeheer en de implementatie van cybersecurityprocessen en -procedures moeten bedrijven volgens de FSMA steeds rekening houden met het proportionaliteitsbeginsel: bedrijven moeten uitgaan van hun eigen risicoprofiel, waarbij het aantal medewerkers niet de enige of de belangrijkste risicoprofielindicator is.
3. Implementatie van beveiligingsmaatregelen
Ten derde onderstreept de FSMA het belang van bedrijven bij afdoende technische en organisatorische maatregelen om zich te beschermen tegen cyberrisico's. Die maatregelen moeten ervoor zorgen dat bedrijven incidenten vroeg kunnen detecteren, dat zij snel kunnen reageren op incidenten en de juiste tegenmaatregelen kunnen nemen.
De FSMA pleit voor een duidelijke toewijzing van verantwoordelijkheden binnen het bedrijf om incidenten efficiënt te kunnen behandelen. Daarnaast adviseert de FSMA dat bedrijven, naargelang hun omvang, de zogenaamde SIEM-oplossing (Security Information and Event Management) implementeren. Deze oplossing analyseert de netwerksystemen binnen het bedrijf om verdachte activiteiten op te sporen en aan te pakken.
Verder raadt de FMSA bedrijven aan in relaties met hun IT-dienstverleners na te gaan of de (potentiële) dienstverleners zich op het gebied van cybersecurity goed hebben voorbereid (bijvoorbeeld door vendor questionnaires). Zo moeten bedrijven bijvoorbeeld nagaan of de overeenkomst met de dienstverlener voldoende waarborgen bevat voor de bescherming van gegevens, waaronder het tijdig melden van incidenten.
4. Evaluatie van beveiligingsmaatregelen
Ten slotte hamert de FSMA op het belang van een regelmatige evaluatie van de beveiligingsmaatregelen. Zo zouden bedrijven minstens eenmaal per jaar hun beveiligingsmaatregelen moeten evalueren en hun risicoanalyses verder moeten uitdiepen en verfijnen.
Wil u meer weten over de verschillende cybersecurity verplichtingen en hoe uw bedrijf zich daarop best kan voorbereiden?
Raadpleeg onze eerdere bijdragen die u hier en hier kan terugvinden of neem contact op met één van onze specialisten.
