Nieuwsfoto van de AFM
Nieuws 29/12/22

Kapitaalmarktsector kwetsbaar voor cyberaanvallen, AFM doet aanbevelingen

Kapitaalmarktinstellingen leunen steeds meer op steeds complexere IT-omgevingen. Dat maakt de instellingen kwetsbaar voor cyberaanvallen die de bedrijfscontinuïteit ernstig kunnen verstoren. Uit zelfonderzoeken (self assessments) van 14 kapitaalmarktinstellingen geeft 80% aan hoge risico’s te lopen als ICT-beheersmaatregelen niet op orde zouden zijn. Vooruitlopend op nieuwe Europese regelgeving (DORA) doet de AFM 7 aanbevelingen voor de sector, waaronder het hebben èn onderhouden van een cyberincidentenplan.

In het kort

  • Zelfonderzoek kapitaalmarktinstellingen wijst op belang ICT-beheersmaatregelen om minder kwetsbaar te zijn voor cyberaanvallen
  • 11 van 14 instellingen (80%) geeft zelf aan hoge risico's te lopen als ICT-beheersmaatregelen niet op orde zouden zijn
  • AFM doet 7 ICT-aanbevelingen, waaronder het hebben en onderhouden van cyber-incidentenplan
  • Sector bereidt zich voor op Digital Operational Resiliance Act – DORA

De AFM ziet cyberrisico’s als een van de belangrijke operationele risico’s voor kapitaalmarktinstellingen. Niet alleen neemt het aantal cyberaanvallen toe, ook de ontwrichtende impact ervan groeit. Cyberaanvallen kunnen de continuïteit van bedrijfsactiviteiten ernstig schaden. Samen met de kapitaalmarktsector werkt de AFM eraan om de cyberweerbaarheid verder te versterken. Dit zal de komende jaren verder worden geïntensiveerd, onder andere in het kader van nieuwe Europese wetgeving, de Digital Operational Resiliance Act – DORA.

Self-assessment-onderzoek kapitaalmarktinstellingen

De self-assessments van de 14 kapitaalmarktinstellingen (pdf, 2,3 mb) bevatten de meest recente observaties over IT- en cyberrisico's. Onder de instellingen bevinden zich handelsplatformen, Handelaren voor eigen rekening en Clearing & settlement ondernemingen.

Aanbevelingen

De AFM doet naar aanleiding van de self-assessments enkele aanbevelingen aan de kapitaalmarktsector, waaronder het hebben èn onderhouden van een cyberincidentenplan. Ook wijst de AFM marktpartijen erop dat niet alleen de eigen informatiesystemen adequaat beveiligd moeten zijn, maar ook die van de (digitale) toeleveringsketen.

Voorbereidingen op DORA

In het verlengde van de aanbevelingen, krijgt de financiële sector de komende jaren te maken met de voorbereidingen op DORA. Deze nieuwe set van regels ziet toe op uniforme eisen aan de beveiliging van netwerk- en informatiesystemen van bedrijven en organisaties die actief zijn in de financiële sector. Doel is de digitale operationele weerbaarheid van de sector te vergoten. In 2025 wordt DORA van kracht.

Contact bij dit artikel

Wilt u het laatste nieuws van de AFM ontvangen?

Schrijf u dan in voor onze nieuwsbrief, dan houden wij je op de hoogte.