• Arno Kroese, Director |
  • Bert Koelewijn, Senior Manager |

Pensioenfondsen en -uitvoeringsorganisaties lopen tijdens de transitie naar het nieuwe pensioenstelsel extra risico's op het gebied van informatiebeveiliging en daarmee samenhangende cyberrisico’s. Anderzijds biedt deze transitie in de komende jaren de kans om vereisten op het gebied van informatiebeveiliging en digitale weerbaarheid ‘by design’ mee te nemen.

Grote veranderingen in een organisatie? Risicomanagers zijn er altijd gespitst op. Want de focus verschuift dan vanzelf naar de inhoud van die veranderingen: een nieuwe koers, nieuwe werkwijzen, nieuwe mensen, et cetera. Beheersingsvraagstukken hebben vervolgens de neiging 'even' naar de achtergrond te verschuiven.

Rond het uitvoeren van de afspraken uit het Pensioenakkoord kan dat ook gebeuren met IT- en cyberrisico’s bij pensioenfondsen en -uitvoeringsorganisaties. Het gaat immers om een veelomvattende en complexe transitie die grote inspanningen vraagt van alle betrokken partijen. De kans bestaat dat de aandacht die vereist is om de risicobeheersing op het gewenste niveau te houden, daaronder lijdt.

De pensioensector kan zich dat niet veroorloven. DNB zette al eerder in op good practices en toezicht daarop om het volwassenheidsniveau van de risicobeheersing bij organisaties in de sector omhoog te krijgen. De afgelopen jaren is er hard gewerkt om in dit opzicht aan de minimumvereisten te voldoen. Het is dus zaak op zijn minst dit niveau vast te houden, en liefst uit te bouwen tot een nog veiligere situatie. Dat is mede nodig omdat u rekening wilt houden met zich ontwikkelende regelgeving. Waarschijnlijk halverwege het transitieproces (rond 2024) zal de nieuwe – en strengere – verordening met eisen voor digitale weerbaarheid van kracht worden, de Digital Operational Resilience Act (DORA) vanuit de Europese Commissie. U doet er natuurlijk alles aan om op tijd te voldoen aan die verordening.

Een ‘step up’ qua informatiebeveiliging (DNB) tijdens het transitieproces is voor pensioenfondsen en -uitvoeringsorganisaties noodzakelijk en een kans op betere digitale weerbaarheid (DORA). De vereisten van DORA gaan verder dan die van DNB, vooral ten aanzien van uitbesteding, weerbaarheidstesten en rapporteren van incidenten. De omvangrijke financiële stromen en de grote hoeveelheden persoonsgegevens moeten zo goed worden beschermd dat beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens niet in gevaar komen.

Op tijd hierop schakelen betekent ook dat, als het transitieproces is afgerond, allerlei reparatiewerkzaamheden achterwege kunnen blijven. Dat voorkomt (veel) hogere kosten, want achteraf repareren is complexer dan vooraf inbouwen. 

Vooraf inbouwen is dus de beste oplossing om in de pensioensector de IT- en cyberrisico's te beheersen. Wat dat betreft is de transitie naar het nieuwe stelsel ook een kans: bij het ontwerpen van de nieuwe systemen die nodig zijn, of de aanpassingen aan de huidige systemen, kunnen de beveiligingsmaatregelen meteen worden meegenomen.

‘Control by design’ kunnen we dat dan noemen. Uiteindelijk levert dit de beste resultaten op, al moeten er wel een paar hobbels worden genomen. Zo vraagt deze optie meer tijd in een periode (die van het veranderprogramma) waarin tijd schaars is. Bovendien vraagt deze optie een heldere visie op het evenwicht tussen veiligheid en flexibiliteit. Een organisatie die meerdere pensioenregelingen wil kunnen aanbieden en meerdere administraties wil kunnen voeren, heeft bijvoorbeeld wendbaarheid nodig en die wendbaarheid is soms moeilijk verenigbaar met het vergrendelen van elke digitale deur.

KPMG helpt pensioenfondsen en -uitvoeringsorganisaties bij het nemen van deze hobbels. Wij hebben uitgebreide ervaring met het verhogen van het volwassenheidsniveau in risicobeheersing voor informatiebeveiliging en digitale weerbaarheid en weten hoe dit niveau tijdens de transitie naar het nieuwe pensioenstelsel kan worden versterkt en bewaakt. Organisatieontwikkeling gaat daarbij hand in hand met de inzet van technische middelen. Enerzijds gaat het bijvoorbeeld om het risicobewustzijn van medewerkers en het borgen van functiescheidingen, anderzijds om bijvoorbeeld technische inrichtingen, kwetsbaarheidsscans en penetratietesten. Met een team van specialisten op het gebied van IT- en cyberrisico’s specifiek in de pensioensector werken we samen met u aan de beste beheersoplossingen voor uw organisatie.

Bent u nieuwsgierig naar de manier waarop wij uw pensioenfonds of uitvoeringsorganisatie kunnen helpen? Aarzel niet om contact op te nemen. We gaan graag met u in gesprek.