DNB Good Practice Informatiebeveiliging

DORA, NIS2 en de veranderende rol van DNB-toezicht

Informatiebeveiliging is al jarenlang een kernthema binnen de financiële sector. De urgentie neemt toe. Nieuwe wet- en regelgeving, toenemende afhankelijkheid van digitale processen en scherpere verwachtingen van toezichthouders zorgen voor een structurele verschuiving in hoe instellingen omgaan met IT-risico’s.

Vanaf 17 januari 2025 geldt DORA als bindend toezichtskader voor operationele weerbaarheid. Deze Europese verordening vervangt voor een groot deel de huidige Good Practice Informatiebeveiliging van DNB. De lat komt hoger te liggen. Banken, verzekeraars, pensioenuitvoerders en andere financiële instellingen zullen hun informatiebeveiliging niet alleen moeten inrichten, maar ook moeten kunnen verantwoorden.

DORA en het einde van vrijblijvende kaders

Waar de Good Practice Informatiebeveiliging in de praktijk veel ruimte liet voor interpretatie, is DORA concreet en juridisch afdwingbaar. De focus ligt op het structureel versterken van digitale weerbaarheid. Dat betekent onder andere het borgen van de continuïteit van kritieke processen, het effectief kunnen reageren op incidenten en het aantoonbaar beheersen van IT-gerelateerde risico’s.

Voor veel instellingen betekent dit een verschuiving van IT-beveiliging als technisch onderwerp naar een structureel onderdeel van governance en integrale risicobeheersing.

Wat betekent dit voor toezicht vanuit DNB

DNB blijft ook na de inwerkingtreding van DORA een centrale rol spelen in het toezicht op informatiebeveiliging. Daarbij wordt de Good Practice niet volledig losgelaten, maar aangevuld en waar nodig vervangen door de strengere normen van DORA.

Tegelijkertijd geldt NIS2 als aanvullend kader. Deze Europese richtlijn is gericht op netwerk- en informatiebeveiliging en raakt instellingen die worden beschouwd als essentieel voor het functioneren van onze economie en maatschappij.

DNB verwacht van instellingen dat zij deze kaders vertalen naar een samenhangende aanpak. Dat vraagt om volwassen risicomanagement, actuele dreigingsanalyses en een helder ingericht proces voor rapportage en verantwoording.

Informatiebeveiliging binnen de three lines of defence

Toezichthouders verwachten dat informatiebeveiliging niet alleen technisch wordt opgepakt, maar structureel is ingebed in de governance. De verantwoordelijkheden van de eerste, tweede en derde lijn moeten helder zijn. De uitvoering ligt bij de lijnorganisatie, de monitoring bij risk en compliance, en de onafhankelijke beoordeling bij internal audit.

ARC People ondersteunt instellingen bij het verhelderen en versterken van deze onderlinge verhoudingen. Dat begint met structuur, maar vraagt ook om heldere kaders, toetsbare maatregelen en werkbare rapportagelijnen.

Gedrag, bewustzijn en soft controls

Een volwassen inrichting van informatiebeveiliging vereist meer dan technologie en processen. In veel gevallen ontstaat kwetsbaarheid waar formele regels botsen met de praktijk. Bijvoorbeeld wanneer uitzonderingen stilzwijgend worden toegestaan of awareness campagnes onvoldoende effect sorteren.

Daarom kijkt ARC People ook naar gedrag en cultuur. Onze consultants analyseren soft controls zoals risicobewustzijn, voorbeeldgedrag en aanspreekcultuur, en leggen deze naast de formele beheersmaatregelen. Alleen wanneer beide sporen in balans zijn, ontstaat daadwerkelijke beheersing.

Verantwoording richting bestuur en toezichthouders

De eisen aan rapportage nemen toe. Bestuurders, audit committees en toezichthouders willen niet alleen weten dát er maatregelen zijn, maar ook hóe deze werken en op basis waarvan zij zijn gekozen.

Wij helpen instellingen om die verantwoording scherp en transparant in te richten. Denk aan gestructureerde dashboards, toetsbare KPI’s en rapportages die aansluiten op het volwassenheidsniveau van de organisatie. Daarmee ontstaat niet alleen grip, maar ook vertrouwen richting interne en externe stakeholders.

De expertise van ARC People

ARC People ondersteunt financiële instellingen bij het inrichten, toetsen en versterken van hun informatiebeveiliging. Onze consultants brengen ervaring mee vanuit audit, risicobeheersing en IT-governance.

Wij helpen organisaties met:

• Het uitvoeren van dreigingsanalyses en risicoverkenningen.
• Het toetsen van bestaande maatregelen op effectiviteit.
• De voorbereiding op DORA en NIS2 op zowel strategisch als operationeel niveau.
• Het vormgeven van incidentrespons en rapportagelijnen richting toezichthouders.
• Het versterken van samenwerking tussen de first, second en third line.

We werken onder andere voor banken, verzekeraars, pensioenfondsen en betaalinstellingen. Vanuit inhoud en met aandacht voor bestuurlijke realiteit.

Informatiebeveiliging vraagt om samenhang en volwassenheid

Informatiebeveiliging staat niet meer los van de rest van de organisatie. Bestuurders, risk managers en internal auditors hebben een gezamenlijke verantwoordelijkheid. De verwachtingen van toezichthouders zijn helder.
ARC People helpt om die verwachtingen niet alleen te begrijpen, maar ook te vertalen naar een beheersing die werkt in de praktijk.

Meer weten of sparren over uw volgende stap?

Neem contact op met ARC People voor een verkennend gesprek. We denken graag met u mee over uw informatiebeveiligingsstrategie, auditvraagstukken of de praktische vertaling van DORA en NIS2 binnen uw organisatie.