AFM: 5 adviezen aan accountants over cyberveiligheid

Toezichthouder AFM laat weten IT-risicobeheersing als een prioriteit te blijven zien. De waahond dringt er bij accountantsorganisaties op aan om het maximale doen om de informatiebeveiliging verder te versterken.

De toezichthouder deelt daarnaast inzichten die ook reguliere vergunninghouders helpen hun risicomanagement verder te versterken. “Voor accountantsorganisaties, die werken met gevoelige cliënt- en transactiedata en afhankelijk zijn van digitale systemen, is een toekomstbestendige informatiebeveiliging daarom essentieel”, meldt de waakhond op zijn website. “Een stevig fundament van informatiebeveiliging en risicomanagement helpt incidenten te voorkomen én sneller op te vangen wanneer ze zich voordoen.”

1. Werk met een actueel en cyclisch proces, zo luidt het eerste advies aan de sector. Houd risicoregisters actueel en volledig rondom interne en externe dreigingsbeeld. Leg risicobesluiten vast en bewaak opvolging. Zorg dat risico’s binnen de risk appetite zijn.
2. Toets aannames en test breed, is het tweede advies van de waakhond. Actualiseer business-impact-analyses regelmatig. Test niet alleen IT-herstel, maar de volledige keten. Verwerk ‘lessons learned’ structureel in plannen en rapportages.
3. Het derde advies gaat over het in kaart brengen van afhankelijkheden. Zorg voor een volledig overzicht van informatiesystemen, API-koppelingen, assets en relaties. Maak inzichtelijk welke processen geraakt worden bij verstoringen, zo raadt de AFM aan.
   
4. Verder dringt de AFM aan op structureel en risicogebaseerd monitoren: werk met formele onboarding en evaluatieprocessen en betrek ook subleveranciers bij risicoafwegingen.
   
5. Tenslotte dringt de waakhond aan op structureel leren en verbeteren bij incidenten. “Definieer eenduidig wat een incident is, voer postincident-analyses standaard uit, documenteer verbeteracties en borg opvolging.”