Met de komst van de Europese Digital Operational Resilience Act (DORA) dit jaar moeten pensioenfondsbestuurders behalve beleggingsrisico’s ook de cyberrisico’s goed kunnen inschatten. Worden zij daarmee niet overvraagd?
Brussel wil met DORA de digitale weerbaarheid vergroten en kritische en belangrijke Europese financiële infrastructuur harmoniseren. Het doel is dat cyberaanvallen beter afgeweerd kunnen worden en dat financiële organisaties – waaronder pensioenfondsen – sneller herstellen van een groot cyberincident. DORA is sinds januari dit jaar van kracht, maar financiële instellingen krijgen twee jaar de tijd om aan alle technische eisen te voldoen.
De Pensioenfederatie verwacht geringe impact van DORA op de pensioensector, gegeven ‘het relatief hoge niveau van informatiebeveiliging.’ Veel van de eisen uit DORA komen terug in bestaande richtlijnen voor pensioenfondsen, zoals het raamwerk voor informatiebeveiliging van De Nederlandse Bank (DNB), aldus de federatie. Dat wordt echter tegengesproken door cyberexperts, die stellen dat de pensioensector achterloopt op andere sectoren. Bovendien is DORA breder en specifieker dan de bestaande richtlijnen en niet alle fondsen hebben het DNB-raamwerk al geïmplementeerd.
‘Sommige financiële instellingen denken te makkelijk over de adoptie van DORA’, zegt Rudrani Djwalapersad (foto). Zij leidt in Nederland voor consultant EY het cybersecurityteam, dat zich richt op de financiële sector. ‘Zij denken dat ze goed zitten, onder meer vanwege het DNB-raamwerk en andere door hen nageleefde internationale normen voor informatiebeveiliging zoals ISO27001 en NIST. DORA maakt sommige vereisten echter veel explicieter voor het bestuur, zoals de verantwoordelijkheid en aansprakelijkheid voor digitale risico’s.’
Digitaal kwetsbaar
Vanwege de grote hoeveelheid persoonsgegevens die zij hebben verzameld, veelal tientallen jaren op rij, zijn pensioenfondsen digitaal kwetsbaar. DDoS-aanvallen, phishing, ransomware en malware, gestolen inloggegevens en het misbruik maken van te ruime rechten kunnen deze kwetsbaarheden blootleggen.
DNB becijferde dat in 2021 bij een op de twintig Nederlandse pensioenfondsen hackers met succes de IT-systemen waren binnengedrongen. Van pensioenuitvoerder Blue Sky Group lagen dat jaar na een groot datalek namen, polis- en rekeningnummers en pensioenuitkeringen op straat. ‘Dat was een incident met grote impact, dat veel publiciteit heeft gekregen’, zegt senior risk consultant Simon Heerings van Ortec Finance. Hij houdt zich bezig met niet-financiële risico’s van pensioenfondsen zoals cybercriminaliteit. ‘Kleinere datalekken komen echter regelmatig voor.’
DNB maakt zich zorgen over de digitale weerbaarheid van pensioenfondsen en stelt dat van de pensioenfondsen en verzekeraars 42 procent één of meer kritieke IT-systemen heeft die niet meer worden ondersteund, en dus uiterst kwetsbaar zijn. Heerings deelt de zorgen van de toezichthouder. ‘Het ontvreemden of gijzelen van deelnemersdata door hackers is een serieus probleem, en kan leiden tot grote reputatieschade. Pensioenuitvoerders hebben vaak meerdere pensioenfondsen als klant. Als hackers losgeld eisen, ga je dan elk fonds vragen of zij wil betalen? Over dit soort vraagstukken wordt nog weinig nagedacht.’
Centrale en actieve rol
Onder DORA kan de pensioenfondsbestuurder de verantwoordelijkheid voor een datalek niet meer delegeren naar de afdeling IT. Zij krijgen een ‘centrale en actieve rol’ bij de beheersing van cyberrisico’s. Het is aan het bestuur om alle regelingen met betrekking tot IT-risicobeheer goed te keuren, toezicht te houden op de uitvoering van die regelingen en jaarlijks bijgeschoold te worden over IT-risicobeheersing. Ook moeten pensioenfondsen kritische IT-incidenten binnen enkele uren melden bij DNB, en moeten bestuurders daarover geïnformeerd zijn. Djwalapersad: ‘Als het nu een halve tot een hele dag kost om een incident te melden, moet je als pensioenfonds dus echt aan de slag’,
De kennis moet bij het bestuur bovendien verder reiken dan de digitale veerkracht van het pensioenfonds zelf. DORA stelt ook regels om digitale risico’s beter te beheersen bij uitbestedingspartijen, zoals asset managers, uitvoerders en zelfs toeleveranciers, zoals cloudpartijen. Pensioenfondsen hebben het leeuwendeel van hun kritische IT-infrastructuur ondergebracht bij derden.
‘In control’ over IT-infrastructuur
Vraagt DORA van pensioenfondsbestuurders om ‘in control’ te zijn over IT-infrastructuur, net zoals zij dat na de kredietcrisis moesten worden over de beleggingsportefeuille? ‘Die vergelijking kun je wel maken’, beamen zowel Heerings als Djwalapersad. Heerings: ‘Het begon na de kredietcrisis met de eis van meer inzicht in het beleggen, daarna kreeg het algemeen risicobeheer extra aandacht en nu moet het bestuur ook kennis hebben van IT-risico’s. Je kunt je afvragen of bestuurders niet worden overvraagd.’
Djwalapersad: ‘Het zou geen extra bestuurstaak moeten zijn, want controle hebben over de operationele risico’s hoort bij het bedrijfsmanagement. Dat het bij pensioenfondsen voor cyberrisico’s niet altijd het geval is, komt doordat veel IT is uitbesteed en daardoor niet altijd onderdeel is van het totale bedrijfsrisicomanagement. Daardoor is er te weinig kennis en bewustzijn aanwezig bij bestuurders.’
Dit artikel verschijnt ook in de krant IO Institutioneel, die op 20 april beschikbaar komt voor geregistreerden.