Artikel:

Bank of betaalinstelling: voorkom schade door hacking via third parties

31 maart 2021

Hackers krijgen steeds vaker toegang tot organisaties via serviceproviders. De hackersaanvallen bij Microsoft en Solarwinds die de afgelopen weken volop in het nieuws waren, zijn hiervan voorbeelden. Net als de eerdere hack bij de Rotterdamse containerterminal APM via boekhoudsoftware, hetgeen leidde tot een schade van meer dan 450 miljoen euro.

Of het voor organisaties mogelijk is om deze vorm van aanvallen volledig te voorkomen, is de vraag. Echter is en blijft een organisatie verantwoordelijk en aansprakelijk voor de uitbestede activiteiten, waarvan in de beschreven gevallen sprake van is. Organisaties hebben immers de verantwoordelijkheid om de activiteiten die zij hebben uitbesteed aan een dienstverlener, te beheersen.

EBA-richtlijnen

Voor banken en betaalinstellingen zijn deze verantwoordelijkheden vastgelegd in de richtlijnen vanuit de EBA. In onderstaande artikelen informeerden wij eerder al over de impact van de EBA-uitbestedingsrichtlijn, de verschillen met de oude richtlijn en de rol van de toezichthouder:

De EBA-uitbestedingsrichtlijn maakt onderscheid tussen verschillende fasen in het uitbestedingsproces:

  • De precontractuele fase;
  • De contractfase;
  • Het toezicht;
  • De beëindiging van de uitbestedingsrelatie.

In het licht van bovenstaande ontwikkelingen lichten wij op hoofdlijnen de verplichtingen ten aanzien van het toezicht op de uitbestedingsrelaties toe.  

Verplichtingen ten aanzien van toezicht op de uitbestedingsrelatie

Instellingen hebben de verplichting om op continue basis de prestaties van hun dienstverleners te monitoren. Deze monitoring kan risico gebaseerd worden ingericht, waarbij de nadruk logischerwijs ligt op de kritische uitbestedingsrelaties. De aspecten beschikbaarheid, integriteit en veiligheid van gegevens en informatie dienen onderdeel te zijn van deze monitoring. 

De richtlijnen schrijven tevens voor dat instellingen de nodige bekwaamheid, zorgvuldigheid en toewijding dienen te betrachten wanneer zij uitbestedingsrelaties bewaken en beheren. Dit betekent onder andere dat instellingen de risicobeoordelingen van de uitbestedingsrelaties op periodieke basis dienen te updaten en dat hierover gerapporteerd dient te worden aan het management binnen de instelling. De richtlijn vraagt hierbij expliciet aandacht voor het mogelijke concentratierisico.

Toezicht in de praktijk

Dit zijn logische punten, echter kan de vraag worden gesteld op welke wijze dit toezicht in de praktijk moet worden uitgevoerd. In de richtlijn wordt aangegeven welke middelen gebruikt kunnen worden om dit toezicht in te richten:

  • Periodieke en toereikende verslagen vanuit de dienstverleners;
  • Beoordelen van dienstverleners met behulp van verschillende instrumenten zoals KPI’s, KRI’s, zelfcertificeringen en toetsen/ audits uitgevoerd door onafhankelijke partijen;
  • Het testen van het netwerk van leveranciers op kwetsbaarheden op het gebied van cyber. Hierbij kan, afhankelijk van de benodigde diepgang en de aard van de situatie, gebruik worden gemaakt van interne en/of externe data om de testwerkzaamheden uit te voeren;
  • Alle andere relevante informatie over de dienstverlener. Hierbij kan bijvoorbeeld gedacht worden aan de maatregelen en uitkomsten van uitgevoerde testen op gebied van privacy.

Het is van belang dat u als bank of betaalinstelling kunt aantonen in control te zijn over uw uitbestedingsrelaties en dat u voldoende activiteiten onderneemt om de prestaties van uw dienstverleners continue te monitoren en te beoordelen.

Op het moment dat tekortkomingen worden gesignaleerd, is het van belang dat de instelling passende corrigerende maatregelen en/of herstelmaatregelen neemt. Afhankelijk van de ernst van de tekortkomingen kunnen deze leiden tot beëindiging van de uitbestedingsovereenkomst.

Hoe kan BDO uw organisatie helpen?

Wij hebben in dit artikel op hoofdlijnen de verplichtingen ten aanzien van toezicht op de uitbestedingsrelaties toegelicht. Wij zien in de markt echter dat een werkbare implementatie vaak uitdagingen met zich meebrengt. BDO kan u hiermee helpen. Daarnaast kunnen wij voor u, als onafhankelijk derde partij, beoordelen of uw huidige inrichting ten aanzien van toezicht op uw uitbestedingsrelaties, inclusief het cyberrisico zoals beschreven in dit artikel, voldoet aan de verplichtingen vanuit de EBA-uitbestedingsrichtlijn. 

Wilt u meer weten over de dienstverlening van BDO op dit specifieke gebied? Neem dan contact op met onze specialisten.