In het eerste kwartaal van 2025 heeft De Nederlandsche Bank (DNB) de jaarlijkse sectorbrede uitvraag (met als scope 2024) uitgevoerd naar operationele risico’s, waaronder informatiebeveiliging en cyberweerbaarheid. DNB constateert dat de volwassenheid van beheersmaatregelen ten opzichte van de uitvraag in het voorgaande jaar is verbeterd. Dat is een positieve ontwikkeling. Tegelijkertijd moeten met name de kleine en middelgrote verzekeraars nog stappen zetten om hun operationele risico’s beter aantoonbaar te beheersen.
1 ICT-risicomanagement
Evalueren & continu verbeteren
Uit de uitvraag komt naar voren dat bij ca. 40% van de verzekeraars het risicomanagementproces rondom informatiebeveiliging en uitbesteding verdere verbetering behoeft. Los van verbeterpunten die per instelling specifiek kunnen zijn, ziet DNB dat de meeste verzekeraars hun ICT-risicomanagementprocessen hebben ingericht en dat die processen ook operationeel zijn. Tegelijkertijd kunnen niet alle verzekeraars aantonen dat hun ICT-risicomanagement processen daadwerkelijk bijdragen aan een betere beheersing van hun ICT- en cyberrisico’s, dit geldt in het bijzonder voor de kleine en middelgrote verzekeraars. DNB verwacht dat instellingen dat wel kunnen aantonen.
Onder DORA is vereist dat financiële instellingen hun kader voor ICT-risicobeheer voortdurend verbeteren op basis van lessen die uit de uitvoering en de monitoring naar voren komen en hun kader ten minste eenmaal per jaar aantoonbaar evalueren. Verzekeraars die de evaluatie nog niet hebben uitgevoerd en vastgelegd hebben tot uiterlijk januari 2026 om dat alsnog te doen.
Risicobereidheid & risicotoleranties
Het merendeel van de verzekeraars heeft risicotoleranties vastgesteld in overeenstemming met de risicobereidheid voor ICT-beveiliging, ICT-beschikbaarheid & continuïteit en uitbesteding. Opvallend is dat circa 10% van de verzekeraars aangaf geen risicotolerantiegrenzen te hebben gedefinieerd. Dit betreft met name de kleinere verzekeraars. Daarmee ontbreekt een basis om sturing te geven aan deze risico categorieën en het nemen van adequate beheersmaatregelen.
In DORA is opgenomen dat het leidinggevend orgaan van een financiële entiteit verantwoordelijk is voor het beheer van het ICT-risico, waaronder begrepen het vaststellen en goedkeuren van een kader voor ICT-risicobeheer en een strategie voor digitale operationele weerbaarheid met inbegrip van de bepaling van het passende risicotolerantieniveau voor het ICT-risico van de financiële entiteit.
Verzekeraars zullen na moeten gaan in hoeverre zij risicotoleranties hebben bepaald en of vastgestelde risicotoleranties adequaat worden toegepast om aantoonbaar sturing te geven aan hun digitale operationele weerbaarheid.
2 Volwassenheid van informatiebeveiliging
Uit de sectorbrede uitvraag komt naar voren dat verzekeraars de volwassenheid van hun fundamentele beheersmaatregelen op het gebied van informatiebeveiliging en cyberweerbaarheid nog niet in de volle breedte kunnen aantonen. Ook hier geldt dat er verschillen zijn tussen individuele verzekeraars en dat verbeterpunten doorgaans instelling specifiek zijn. DNB ziet dat vooral maatregelen rondom uitbesteding, ICT-risicomanagement en operational resilience testing (zoals penetratietesten en ethical hacking) door een deel van de kleine en middelgrote verzekeraars als onvoldoende volwassen zijn gerapporteerd.
DNB benadrukt dat deze onderwerpen onder DORA wettelijke vereisten zijn en essentieel zijn voor een beheerste en veerkrachtige bedrijfsvoering.
Een generiek aandachtspunt is het gebruik van kritieke ICT-systemen die niet langer door leveranciers worden ondersteund, ook wel legacy systemen genoemd. Een aanzienlijk deel van de instellingen geeft aan afhankelijk te zijn van dergelijke legacy systemen. Mogelijk leidt dat tot een verhoogde kwetsbaarheid voor cyberdreigingen.
Daarnaast blijkt dat 18% van de instellingen in 2024 langer dan 10 dagen nodig had om kritieke patches te installeren. Dat is ongeveer gelijk aan het voorafgaande jaar toen 16% van de instellingen aangaf langer dan 10 dagen nodig te hebben voor de implementatie van kritieke patches.
Wij zien in dreigingsanalyses dat de tijd tussen het bekend worden van een kwetsbaarheid en het misbruik daarvan steeds verder afneemt, mede door de komst van AI die door hackers steeds vaker wordt gebruikt. Het tijdig en continu patchen van kwetsbaarheden wordt daardoor steeds belangrijker.
Deze aandachtspunten onderstrepen het belang van een actief en risicogebaseerd beheer van kwetsbaarheden om daarmee de digitale weerbaarheid van de verzekeraars verder te versterken.
DNB vindt het, in lijn met DORA, belangrijk dat financiële instellingen goed in kaart brengen welke cyberdreigingen en ICT-kwetsbaarheden van invloed kunnen zijn op hun belangrijkste bedrijfsprocessen en ICT-systemen. Het installeren van patches dient een gecontroleerd en beheerst proces te volgen, waarbij instellingen risicogebaseerd bepalen of tijdelijke maatregelen nodig zijn om de periode te overbruggen tussen de ontdekking van een kwetsbaarheid en het oplossen (patching) van de kwetsbaarheid. DORA vereist ook dat financiële entiteiten regelmatig en ten minste eenmaal per jaar een specifieke ICT-risicobeoordeling op alle legacy-ICT-systemen moeten verrichten.
3 Uitbestedingsrisico’s
Uit onderzoek van DNB blijkt dat een groot aantal verzekeraars onvoldoende inzicht en controle heeft op hun kritieke uitbestedingsketens. Belangrijke tekortkomingen zijn doorgaans: het ontbreken van een volledige risicoanalyse voorafgaand aan uitbesteding, het ontbreken van meetbare afspraken over informatiebeveiliging met dienstverleners en onvoldoende toetsing van business continuity plannen bij derde partijen.
Toezicht op informatiebeveiliging en cyberweerbaarheid in 2026
Naar aanleiding van de sectorbrede uitvraag ontvingen de verzekeraars eerder dit jaar al een terugkoppeling door middel van een benchmarkrapportage. DNB verwacht dat instellingen continu actief identificeren welke verbeteracties nodig zijn om blijvend te voldoen aan wet- en regelgeving, waaronder DORA.
DNB blijft in het toezicht aandacht besteden aan de cyberweerbaarheid van de onder haar toezicht staande instellingen, zoals is gecommuniceerd in de Visie op Toezicht 2025-2028.
DNB zal de jaarlijkse uitvraag voor de pensioen- en verzekeringssector naar informatiebeveiliging met ingang van het eerste kwartaal 2026 baseren op de DORA-regelgeving voor alle instellingen die onder de reikwijdte van DORA vallen..
