Handelsplatformen en HERs anticiperen op verhoogde risico’s IT-incidenten

Handelsplatformen en HERs hebben een wettelijke plicht om incidenten te melden bij de AFM. IT-gerelateerde incidenten, zoals cyber-aanvallen of systeemstoringen, en uitbestede IT-diensten vallen ook onder deze meldingsplicht. Incidentmeldingen stellen de AFM in staat risico-gestuurd toezicht te houden op de robuustheid van de kapitaalmarktinfrastructuur. De AFM onderzocht voor dit onderzoek acht kapitaalmarktpartijen op hun IT-management.

Toenemende digitalisering, toenemende cyberdreigingen

De combinatie van toenemende digitalisering en toenemende cyberdreigingen verhoogt het risico op IT-incidenten die een aanzienlijke impact kunnen hebben op de onderneming. Het gaat daarbij om uitval van handelssystemen, verbindingsproblemen en softwarefouten. De AFM verwacht dat kapitaalmarktpartijen beoordelen wat de risico’s zijn van IT-incidenten voor hun bedrijfsvoering en of er verbeteringen nodig zijn in het IT-incidentenbeheer voor een beheerste en integere bedrijfsvoering.

Incidentmeldingen en zelfonderzoek marktpartijen

De AFM heeft zich in dit onderzoek gebaseerd op incidentmeldingen en onderzoek bij acht handelsplatformen en HERs. Vervolgens heeft de AFM een overzicht gemaakt van de in dit onderzoek geïdentificeerde maatregelen. Op basis van deze maatregelen kunnen ondernemingen hun IT-incident management verbeteren.

Nog niet DORA-proof

De AFM constateert dat het incident management bij de onderzochte kapitaalmarktpartijen nog niet geheel voldoet aan de aanvullende wettelijke eisen van de Digital Operational Resilience Act (DORA) die in 2025 van kracht wordt. De AFM benadrukt het belang van het tijdig beginnen met de invoering van de DORA-vereisten.

Meer informatie

Exploratory study 'IT Incident Management in Capital Markets'  (pdf, 264kB)