"Cyberbedreigingen vormen een groot operationeel risico voor de bedrijven die actief zijn in de financiële sector. Het is een thema dat onverdeelde aandacht verdient aangezien de meest waardevolle assets van deze bedrijven hun klanten, de gegevens over hun klanten en hun reputatie zijn"
Het zou een commerciële flash van/voor CyberContract kunnen zijn...maar bovenstaande tekst is de openingszin van het werkstuk dat toezichthouder FSMA (Financial Services and Markets Authority) afleverde en dat mag worden beschouwd als een set richtlijnen/basisprincipes voor het beheer van cyberrisico's.
Al wie onder FSMA-toezicht valt wordt geacht deze richtlijnen te kennen en te vertalen naar concrete beleidsacties. Het niet naleven van deze regels kan immers leiden tot administratieve onderzoeken of sancties.
Wij lazen deze waardevolle tekst en delen onze conclusies en bedenkingen in deze blogpost.
Proportionaliteit...maar niet "NIKS"
In haar nota benadrukt FSMA dat maatregelen mbt cybersecurity risico's steeds proportioneel moeten/mogen worden genomen. Logisch. Maar dat betekent ook dat NIKS doen géén toegelaten keuze is. Zo bevestigt volgende paragrafen :
De FSMA verwacht van alle bedrijven onder haar toezicht dat zij de noodzakelijke maatregelen treffen om hun informatiebeveiligingsrisico’s te beheren, en in het bijzonder het cyberrisico2, daarbij rekening houdend met de aard, de omvang en de complexiteit van hun bedrijf. Zij moeten die maatregelen regelmatig herzien en bijwerken, gebruikmakend van de meest recente technieken en best practices.
Als er omwille van een cyberincident geen financiële diensten kunnen worden verleend, is dat in de eerste plaats schadelijk voor het publiek. Het is echter ook schadelijk voor de reputatie en de activiteiten van het bedrijf en mogelijk ook voor de reputatie van de financiële sector als geheel.
In het ergste geval kan ernstige nalatigheid bij het beheer van klantgegevens worden beschouwd als een criminele daad. De bedrijfsleider of het hoofd bedrijfsvoering kan aansprakelijk worden gesteld en dat kan leiden tot aanzienlijke financiële claims en aansprakelijkheden.
Voldoen aan de (vele) wettelijke verplichtingen is voor de FSMA geen eindpunt. Ze verwacht dat organisaties waarop zij toezicht houdt ambitieus zijn ...ook inzake hun cyberweerbaarheid.
Proportionaliteit is zoals gezegd een belangrijk beginsel en daarbij maakt de FSMA een onderscheid tussen "bedrijven die wettelijk verplicht zijn om te allen tijde over een passende organisatie te beschikken" en de andere organisaties waarop zij toezicht houdt.
Van organisaties onder de eerste categorie verwacht de FSMA dat cyberrisico's hoog op de beleidsagenda staan en dat de meest geavanceerde maatregelen worden getroffen om de cyberweerbaarheid te vergroten en daadkracht te garanderen in geval van incidenten
De meeste verzekeringsmakelaars vallen onder de tweede categorie. Van hen verwacht de FSMA dat gepaste maatregelen worden getroffen om de financiële data van klanten adequaat te beschermen. Ook deze bedrijven worden aangemoedigd om cyberrisico's als prioritair te behandelen.
4 belangrijke principes
Een doeltreffend beheer van cybersecurity risico's is gebaseerd op 4 belangrijke principes :
- Governance - Beveiliging & ondersteuning
- Inventarisatie - Inventarisatie van de ressources & risicoanalyse
- Implementatie - Beschermen / detecteren / reageren / herstellen
- Evaluatie - Periodieke (minstens jaarlijks) evaluatie van beveiligingsmaatregelen
In haar richtlijn-nota geeft de FSMA voorbeelden van wat met deze 4 basisprincipes wordt bedoeld.
Zo wordt er gewezen op het belang van een Cyber incident response plan , het in kaart brengen & prioritiseren van de risico's, het betrekken van alle medewerkers incl het aanstellen van medewerkers voor informatiebeveiliging. Ook kleine bedrijven worden geacht dit te doen...en worden doorverwezen naar hulpmiddelen zoals de Cyber Security Reference Guide.
Maar ook volgende passage is interessant :
Is het moeilijk om deze problematiek in kaart te brengen, dan roept een bedrijf best de hulp in van externe consultantes of gespecialiseerde ondernemingen, en wacht het vooral niet tot het onheil is geschied.Is het moeilijk om deze problematiek in kaart te brengen, dan roept een bedrijf best de hulp in van externe consultantes of gespecialiseerde ondernemingen, en wacht het vooral niet tot het onheil is geschied.
Ook verzekeringsondernemingen die bedrijven verzekeringsdekking bieden, kunnen helpen met een preventieve screening van de cyberweerbaarheid om het cybersecurityrisico dat het bedrijf loopt te beoordelen.
Hoe CyberContract kan helpen
Al van bij de opstart in 2014 heeft CyberContract een 360° -focus op de problematiek van cyberrisico's. En logischerwijs biedt deze focus en onze ruime ervaring terzake heel bruikbare en concrete oplossingen die oa verzekeringsmakelaars helpen om optimaal te voldoen aan de FSMA richtlijn :
CYBERTEST
Al meer dan 305 bedrijven legden onze gratis online CyberTest af !
Deze test is 100% is gebaseerd op de Belgian Cybersecurity Guide en helpt bedrijven om een goeie start te nemen bij het evalueren van hun cyberveiligheidsbeleid. Meer nog, op het einde van de test scoren we de relavantie van 10 concrete preventieve acties die je als bedrijf kan nemen om beter gewapend te zijn tegen cyberrisico's. En schatten we in welke verzekeringswaarborgen het relevantst lijken.
We durven stellen dat onze cybertest perfect kadert in het nastreven van Governance + Inventarisatie + Evaluatie zoals beschreven in de FSMA-richtlijn
Om de test te kunnen starten volstaat een eenvoudige registratie waarna je kan kiezen tussen een snelle scan of een uitgebreidere test. De test is gatis & 100% a-commercieel. Je wordt dus niet opgebeld en ontvangt nadien ook mails van ons. Je behaalde score heeft ook geen enkele impact op je verzekerbaarheid (bijpremie/ korting/...)
Klik hier om de cybertest te starten !
CYBERVERZEKERING
Bij Cybercontract geloven we niet in 'light-oplossingen' voor een complex & hoog risico. Daarom bevatten al onze verzekeringsformules telkens alle cyber-verzekeringswaarborgen. En kan je optioneel ook kiezen voor een (veelgenomen) uitbreiding 'rechtsbijstand'.
Al onze klanten genieten bijkomend van onze geoliede HOTLINE-dienstverlening.
CyberContract was de allereerste aanbieder die haar verzekeringsoplossingen omringt met professionele diensten door gerenommeerde partners die ter hulp snellen bij een vermoed incident...24/7 ! Gespecialiseerde IT-profielen worden on-the-spot ingezet om te bepalen of het om een gedekte schade gaat en de locale IT-vertrouwenspersoon van de klant bij te staan bij het bepalen & implementeren van een passende oplossing. En met Johan Vandendriessche hebben we ook op legal vlak een topper in huis om onze klant te begeleiden tijdens de hele schadeafhandeling.
Al onze hotline-partners tekenden bovendien ons expert-charter waarin ze expliciet bevestigen om de bestaande vertrouwensrelatie tussen onze klant en zijn bestaande IT- en legalpartners te respecteren en zich niet-commercieel op te stellen gedurende de schade-afhandeling ! Bovendien betalen we ook bij niet-gedekte schades de volledige kost van onze hotline-dienstverlening ! Daarmee is Cybercontract nog steeds uniek in de markt
Wij menen dat onze 360°-aanpak een erg sterke & grote invulling geeft aan het 'Incident Response Plan" dat klanten horen te ontwikkelen !
Heb je nog geen cyberverzekering ? Neem geen risico met je bedrijfscontinuiteit en onderschrijf vandaag nog een van onze verzekeringsformules !
Klik hier voor de volledige nota van FSMA
