IT

Kredietinstellingen dienen over voor hun werkzaamheden passende controle- en beveiligingsmaatregelen op informaticagebied te beschikken, die voldoende deugdelijk zijn om de beveiliging en authenticatie van de middelen voor de informatieoverdracht te garanderen, het risico op datacorruptie en ongeoorloofde toegang tot een minimum te beperken en te voorkomen dat informatie uitlekt door de vertrouwelijkheid van de gegevens te allen tijde te bewaren.

Naast domeinen zoals uitbesteding en bedrijfscontinuïteit, die elders in dit handboek aan bod komen, geldt dit ook voor financiële diensten die via het internet worden aangeboden. In dit verband geeft de circulaire NBB_2009_17 een aantal aanbevelingen en duiding bij de belangrijkste bepalingen uit het bestaande reglementaire en prudentiële kader. Deze aanbevelingen zijn mee geïnspireerd op een aantal internationale standaarden inzake risk management die als referentiekader voor de Belgisch praktijk van nut kunnen zijn. Ook de EBA richtsnoeren van 19 december 2014 met betrekking tot de veiligheid van internetbetalingen, omgezet via circulaire NBB_2016_29, bieden in dit verband nuttige toelichting.

Verder kan verwezen worden naar het document getiteld “Principles for the Sound Management of Operational Risk”, dat eind 2011 door het Bazelcomité voor Bankentoezicht werd gepubliceerd. De NBB houdt bij de uitoefening van haar toezicht rekening met de richtsnoeren zoals verwoord in dit referentiedocument; zie hierover Mededeling NBB_2011_05.

In januari 2013 publiceerde hetzelfde Bazelcomité het document getiteld “Principles for effective risk data aggregation and risk reporting”. De implementatie van deze principes zou het risicobeheer en de besluitvormingsprocessen in kredietinstellingen moeten versterken.

In het domein van de betalingsdiensten verduidelijken circulaires NBB_2018_13 en NBB_2018_14 het toepasselijke kader voor de vaststelling, implementatie en monitoring van de beveiligingsmaatregelen die de instellingen moeten treffen ter beheersing van de operationele en beveiligingsrisico’s in het kader van de verstrekking van betalingsdiensten, en, desgevallend, de melding van gerelateerde grote veiligheidsincidenten.