De bevindingen van de toezichthouder liegen er niet om. Ondanks een lichte verbetering ten opzichte van vorig jaar, voldoet bijna de helft van de verzekeraars in Nederland nog niet aan het door DNB verwachte niveau voor de beheersing van operationele risico’s. De toezichthouder heeft vooral kritiek op het ict-risicomanagement, op uitbestedingsrisico’s en op de datakwaliteit. Dat blijkt uit onderzoeken, gesprekken en een sectorbrede uitvraag operationeel risicomanagement en informatiebeveiliging onder verzekeraars in het afgelopen jaar.
ICT-risicomanagement
Wat betreft het ICT-risicomanagement: verzekeraars hébben vaak wel risicomanagement rond hun informatiebeveiliging en uitbestedingen, maar bij “een grote groep” is op onderdelen niet duidelijk of dit wel effectief is.
Deze groep verzekeraars evalueert bijvoorbeeld niet regelmatig of de genomen maatregelen nog wel passen bij de steeds veranderende cyberdreigingen. Ook nemen ze operationele verstoringen niet altijd aantoonbaar mee in hun evaluaties. Met als gevolg dat maatregelen ongemerkt kunnen verouderen. Zo blijkt dat bijna een kwart (23%) van de verzekeraars kritieke ict-systemen gebruikt die niet langer beveiligingsupdates krijgen.
Daarnaast is bij de helft van de verzekeraars het datamanagement op onderdelen “onvoldoende volwassen”. Er wordt niet altijd voldaan aan de beveiligingseisen. Dit kan leiden tot inefficiënte dataopslag en datalekken.
Crisisscenario's
Verzekeraars oefenen bovendien onvoldoende met crisisscenario’s waarin IT-systemen langere tijd plat liggen, bijvoorbeeld na een heftige cyberaanval. Een instrument dat dan nodig is, is de onveranderlijke back-up. Zo’n reservekopie die op geen enkele manier kan worden gewijzigd, is echter nog niet sectorbreed de standaard
Uitbestedingsketens
Daarnaast heeft een groot aantal verzekeraars onvoldoende zicht en grip op de kritieke uitbestedingsketens. Wel worden uitbestedingen beter gemonitord op het gebied van prestaties en interne beheersing dan voorheen.
Maar het komt nog steeds voor dat kritieke onderaannemers niet in zicht zijn. Of dat er vooraf geen risicoanalyses zijn uitgevoerd. Of dat er geen afdoende afspraken zijn gemaakt over eisen aan informatiebeveiliging. Hierdoor lopen bedrijven het risico op onverwachte verstoringen van kritieke bedrijfsprocessen, en diefstal of verlies van kritieke data.
Data
Het aantal verzekeraars dat datakwaliteitsbeleid heeft ontwikkeld en geïmplementeerd is gestegen. Maar ook op dit punt zijn verbeteringen nodig: bij zo’n 40% van de verzekeraars is de beheersing van de datakwaliteit niet op orde. Dit kan kan onjuiste besluitvorming door het management tot gevolg hebben.
Verzekeraars niet verrast door kritiek
De verzekeraars zelf lijken niet zo onder de indruk van de kritiek van de toezichthouder, blijkt uit een rondgang van AMWeb met verzoek om te reageren op de benchmarkrapportage. Ze zeggen druk bezig te zijn met het verbeteren van hun informatiebeveiliging en herkennen de problemen niet echt.
“Op het gebied van de belangrijkste waarnemingen uit de benchmarkrapportage hebben we onze maatregelen en risico’s goed op orde”, meldt een woordvoerster van Nationale-Nederlanden. “Het bedrijf heeft flink geïnvesteerd in het uitfaseren van legacy (oudere) systemen en gemigreerd naar nieuwe platformen om klaar voor de toekomst te zijn. (...) NN heeft daarnaast stevig ingezet op extra maatregelen die onze operationele risico’s sterk verminderen. Dit was een van onze belangrijkste prioriteiten in 2024 en dat blijft het ook in 2025 omdat de ontwikkelingen snel gaan.”
Flinke investeringen
Een woordvoerder van Menzis meldt: “Menzis investeert veel in de eigen bedrijfsvoering en de risico’s die DNB signaleert. Dit vraagt continue aandacht in een wereld waar IT een steeds belangrijkere rol speelt. Uit het rapport zijn voor Menzis geen nieuwe inzichten gekomen.”
Scildon: "Scildon herkent de aandachtspunten die worden benoemd rondom ICT-risicomanagement, uitbestedingsrisico’s. Met de invoering van DORA heeft Scildon echter extra stappen gezet om haar operationele risico’s beter in kaart te brengen en te beheersen. Dit omvat onder meer verbeteringen in de digitale weerbaarheid, de monitoring van kritieke uitbestedingsketens en de borging binnen de organisatie.”
Univé: “Net als bij alle andere financiële instellingen in Europa vraagt de Europese regelgeving vanuit DORA onze meeste aandacht op dit moment. Daarin zetten wij belangrijke stappen om hier tijdig aan te voldoen. Wij hebben echter niet de indruk tot de groep verzekeraars te behoren waar DNB in het algemeen over concludeert dat ze beneden niveau zijn ingericht op operationele risico’s.”
Achmea: “Bij Achmea heeft het vormgeven en ontwikkelen van informatiebeveiliging hoge prioriteit en we investeren hier continu in. Dit resulteert in een overall score op het gewenste DNB-niveau. Er zijn altijd verbeterpunten, en nieuwe ontwikkelingen vereisen nieuwe oplossingen, wat onze voortdurende aandacht krijgt.
Enkele verzekeraars hebben niet gereageerd op ons verzoek om commentaar, of wilden niets inhoudelijks zeggen: “Hierover communiceren we alleen met DNB, niet naar buiten toe”, zei een woordvoerster.
