4.5.1. Ict-veiligheid
Wettelijk en regelgevend kader:
- Toezichtswet beursvennootschappen: art. 17, § 1, 7°
- Relevante thematische NBB-circulaires:
- Circulaire NBB_2021_21 van 26 oktober 2021 betreffende de EBA-richtsnoeren voor de melding van grote incidenten
- Circulaire NBB_2020_23 van 16 juni 2020 over de richtsnoeren van de Europese Bankautoriteit van 29 november 2019 inzake risicobeheer op het gebied van ICT en veiligheid (EBA/GL/2019/04)
- Circulaire NBB_2019_09 van 8 mei 2019 over de rapportering in het kader van circulaire NBB_2018_13 betreffende de EBA-richtsnoeren inzake de beveiligingsmaatregelen voor operationele en beveiligingsrisico’s van betaaldiensten
- Circulaire NBB_2019_19 van 19 juli 2019 over de richtsnoeren van de Europese Bankautoriteit van 25 februari 2019 inzake uitbesteding (EBA/GL/2019/02)
- Circulaire NBB_2015_32 van 18 december 2015 betreffende de aanvullende prudentiële verwachtingen van de NBB op het vlak van de operationele bedrijfscontinuïteit en beveiliging van systeemrelevante financiële instellingen
- Mededeling NBB_2011_05 van 27 oktober 2011 over de prudentiële verwachtingen van de NBB voor een gezond beheer van het operationeel risico
- Circulaire NBB_2009_17 van 7 april 2009 betreffende de prudentiële vereisten voor financiële diensten via het internet
- Circulaire PPB 2005/2 van 10 maart 2005 in verband met gezonde beheerspraktijken inzake de bedrijfscontinuïteit van financiële instellingen
- Internationale referentiedocumenten: //
4:175 Artikel 17, § 1, 7° van de toezichtswet beursvennootschappen bepaalt dat er controle- en beveiligingsmechanismen op IT-gebied moeten worden ingesteld die afgestemd zijn op de werkzaamheden van de vennootschap en die voldoende deugdelijk zijn om de beveiliging en authenticatie van de middelen voor de informatieoverdracht te garanderen, het risico op datacorruptie en ongeoorloofde toegang tot een minimum te beperken en te voorkomen dat informatie uitlekt, teneinde de vertrouwelijkheid van de gegevens te allen tijde te bewaren.
4:176 Zo ziet het wettelijk bestuursorgaan erop toe dat het governancesysteem van de vennootschap, met name het systeem voor risicobeheer en interne controle, de risico's die verband houden met informatie- en communicatietechnologie (ICT) en informatiebeveiliging op passende wijze beheert.
4:177 De vennootschap moet in het kader van haar governancesysteem en in overeenstemming met het evenredigheidsbeginsel een informatiebeveiligingsfunctie opzetten, die onder meer tot doel heeft: (i) sturing te geven aan de visie en de strategie van de vennootschap op het gebied van informatiebeveiliging, rekening houdend met alle relevante informatie; (ii) erop toe te zien dat de in deze strategie omschreven doelstellingen en maatregelen op het gebied van informatiebeveiliging worden vertaald in een algemeen beleidskader voor informatiebeveiliging; (iii) dit beleidskader voor informatiebeveiliging naar behoren bekend te maken aan alle belanghebbenden, zowel intern als, in voorkomend geval, extern; (iv) het strategisch kader voor informatiebeveiliging te beoordelen en te monitoren en de naleving ervan te garanderen, en dit kader zo nodig aan te passen; en (v) processen voor het beheer en de melding van beveiligingsrisico's vast te stellen, die geïntegreerd zijn in het algemeen risicobeheerkader van de vennootschap.
4:178 Er wordt aanbevolen dat de informatiebeveiligingsfunctie binnen de vennootschap een hogere functie (niveau "N-1” of “N”) is die rechtstreeks verslag kan uitbrengen aan het wettelijk bestuursorgaan en de effectieve leiding of, in voorkomend geval, het directiecomité. De verantwoordelijkheid voor de informatiebeveiligingsfunctie kan worden toegewezen aan de zogenaamde Chief Information Security Officer (CISO).
4:179 Voor meer informatie zij verwezen naar de relevante thematische NBB-circulaires (met name circulaire NBB_2019_19, die geldt voor alle gevallen van uitbesteding, inclusief gevallen van uitbesteding aan aanbieders van clouddiensten (cloud outsourcing), circulaire NBB_2009_17, enz.).