Pensioenfondsen en -uitvoeringsorganisaties worden tijdens de overgang naar het nieuwe pensioenstelsel geconfronteerd met extra risico's met betrekking tot informatiebeveiliging en de daarmee gepaard gaande cyberrisico's. Tegelijkertijd biedt deze overgang in de komende jaren de gelegenheid om informatiebeveiliging en digitale weerbaarheid vanaf het begin in het ontwerp van hun processen en systemen op te nemen.

Wanneer een organisatie grote veranderingen ondergaat, zijn risicomanagers altijd alert. De focus verschuift dan vaak naar de inhoud van deze veranderingen, zoals een nieuwe koers, nieuwe werkmethoden, nieuwe teamleden, enzovoort. Risicobeheersingskwesties hebben de neiging om tijdelijk naar de achtergrond te verdwijnen.

Bij de uitvoering van de afspraken uit het Pensioenakkoord kan dit ook gebeuren met betrekking tot IT- en cyberrisico's in pensioenfondsen en -uitvoeringsorganisaties. Deze overgang is namelijk omvangrijk en complex en vereist aanzienlijke inspanningen van alle betrokken partijen. Er bestaat een risico dat de benodigde aandacht voor effectieve risicobeheersing wordt verwaarloosd.

Dit is een situatie die de pensioensector zich niet kan veroorloven. De Nederlandse Bank (DNB) heeft eerder al inspanningen geleverd om best practices en toezicht te bevorderen, met als doel het volwassenheidsniveau van risicobeheersing in de sector te verhogen. In de afgelopen jaren is er hard gewerkt om aan de minimale vereisten te voldoen. Het is daarom van cruciaal belang om ten minste dit niveau te handhaven en bij voorkeur verder te verbeteren, vooral met het oog op aanstaande regelgeving. Rond 2024 wordt naar verwachting de Digital Operational Resilience Act (DORA) van kracht, een nieuwe en strengere Europese verordening met eisen met betrekking tot digitale weerbaarheid. Het is van groot belang om tijdig aan deze verordening te voldoen.

Het verhogen van het niveau van informatiebeveiliging (DNB) tijdens de overgangsfase is een noodzaak voor pensioenfondsen en -uitvoeringsorganisaties en biedt tegelijkertijd de gelegenheid om de digitale weerbaarheid (DORA) te verbeteren. De vereisten van DORA zijn strenger dan die van DNB, met name met betrekking tot uitbesteding, weerbaarheidstests en incidentrapportage. Het is van cruciaal belang om de financiële transacties en persoonlijke gegevens op een zodanige manier te beschermen dat de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens niet in gevaar komen.

Het tijdig aanpakken van deze kwesties betekent ook dat er na de overgangsfase minder noodzaak zal zijn voor achteraf reparaties, wat aanzienlijke kostenbesparingen met zich meebrengt. Preventieve maatregelen zijn namelijk doorgaans eenvoudiger in te bouwen dan correcties achteraf uit te voeren.

Daarom is het van groot belang om informatiebeveiliging 'in te bouwen' in de pensioensector tijdens de overgang naar het nieuwe stelsel. Deze overgang biedt een kans om beveiligingsmaatregelen direct te integreren bij het ontwerpen van nieuwe systemen of het aanpassen van bestaande systemen.

We kunnen dit benaderen als 'Control by design.' Hoewel dit enige uitdagingen met zich meebrengt, zoals het benodigde extra tijdsbeslag in een periode waarin tijd schaars is en het vinden van het juiste evenwicht tussen veiligheid en flexibiliteit, levert dit uiteindelijk de beste resultaten op. Organisaties die meerdere pensioenregelingen willen aanbieden en administratieve flexibiliteit nodig hebben, kunnen bijvoorbeeld wendbaarheid behouden, wat soms lastig te verenigen is met het volledig vergrendelen van digitale toegang.

KPMG staat paraat om pensioenfondsen en -uitvoeringsorganisaties te ondersteunen bij deze uitdagingen. We hebben uitgebreide ervaring in het verhogen van het volwassenheidsniveau van risicobeheersing met betrekking tot informatiebeveiliging en digitale weerbaarheid, en we begrijpen hoe dit niveau kan worden versterkt en gehandhaafd tijdens de overgang naar het nieuwe pensioenstelsel. Onze aanpak omvat zowel organisatorische ontwikkeling als technische maatregelen, zoals het versterken van het risicobewustzijn van medewerkers, het waarborgen van functiescheidingen, technische configuraties, kwetsbaarheidsscans en penetratietests. Ons gespecialiseerde team op het gebied van IT- en cyberrisico's in de pensioensector werkt samen met u aan de meest geschikte beheersoplossingen voor uw organisatie.

Als u interesse heeft in hoe Cyberus uw pensioenfonds of uitvoeringsorganisatie kan ondersteunen, aarzel dan niet om contact met ons op te nemen. We zijn graag bereid om een gesprek aan te gaan en u verder te adviseren.