Artikel 21, § 1, 7° van de bankwet bepaalt dat er controle- en beveiligingsmechanismen op IT-gebied moeten worden ingesteld die afgestemd zijn op de werkzaamheden van de instelling en die voldoende deugdelijk zijn om de beveiliging en authenticatie van de middelen voor de informatieoverdracht te garanderen, het risico op datacorruptie en ongeoorloofde toegang tot een minimum te beperken en te voorkomen dat informatie uitlekt door de vertrouwelijkheid van de gegevens te allen tijde te bewaren.

Zo ziet het wettelijk bestuursorgaan erop toe dat het governancesysteem van de instelling, met name het systeem voor risicobeheer en interne controle, de risico's die verband houden met informatie- en communicatietechnologie (ICT) en informatiebeveiliging op passende wijze beheert.

Het wettelijk bestuursorgaan zorgt ervoor dat de instellingen beschikken over voldoende personeel, met de juiste vaardigheden, om te voldoen aan hun behoeften op operationeel gebied, evenals op het gebied van risicobeheer en tenuitvoerlegging van de ICT-strategie. Voorts krijgt het personeel regelmatig een passende opleiding over informatiebeveiliging en de daarmee samenhangende risico's.

Het wettelijk bestuursorgaan heeft de algemene verantwoordelijkheid voor het vaststellen en goedkeuren van de schriftelijke ICT-strategie als onderdeel van de algehele bedrijfsstrategie van de instelling, evenals voor het toezicht op de interne communicatie en uitvoering ervan. Dit omvat de vaststelling van de tolerantie voor ICT-risico’s, in overeenstemming met de risicostrategie van de instelling, en een periodiek schriftelijk verslag over het resultaat van het proces voor het beheer van ICT-risico’s.

Het is zinvol dat de instelling schriftelijke beleidslijnen op het gebied van informatiebeveiliging opstelt, die moeten worden goedgekeurd door het wettelijk bestuursorgaan en waarin de hoofdbeginselen en -voorschriften zijn vastgesteld voor de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de instelling teneinde de tenuitvoerlegging van de ICT-strategie ervan te ondersteunen. Het beleid omvat met name een omschrijving van de belangrijkste taken en verantwoordelijkheden inzake informatiebeveiligingsbeheer.  Op basis van deze beleidslijnen moet de instelling specifiekere informatiebeveiligingsprocedures en -maatregelen vaststellen en uitvoeren om, onder andere, de ICT- en beveiligingsrisico’s waaraan zij is blootgesteld, te beperken.

De instellingen moeten in het kader van hun governancesysteem en in overeenstemming met het evenredigheidsbeginsel een informatiebeveiligingsfunctie opzetten, die onder meer tot doel heeft: (i) sturing te geven aan de visie en de strategie van de instelling op het gebied van informatiebeveiliging, rekening houdend met alle relevante informatie; (ii) erop toe te zien dat de in deze strategie omschreven doelstellingen en maatregelen op het gebied van informatiebeveiliging worden vertaald in een algemeen beleidskader voor informatiebeveiliging; (iii) dit beleidskader voor informatiebeveiliging naar behoren bekend te maken aan alle belanghebbenden, zowel intern als, in voorkomend geval, extern; (iv) het strategisch kader voor informatiebeveiliging te beoordelen, te monitoren en de naleving ervan te garanderen, en dit kader zo nodig aan te passen; en (v) processen voor het beheer en de melding van beveiligingsrisico's vast te stellen, die geïntegreerd zijn in het algemeen risicobeheerkader van de instelling.

De verantwoordelijkheid voor de informatiebeveiligingsfunctie kan worden toegewezen aan de zogenaamde Chief Information Security Officer (of CISO), die moet beschikken over een gedegen kennis van logische en fysieke beveiligingsoplossingen, een grondig begrip van het bedrijfsmodel en de organisatiestructuur van de instelling, en uitstekende leiderschaps- en communicatievaardigheden.

De informatiebeveiligingsfunctie moet binnen de instelling een hogere functie (niveau “N-1”) zijn die rechtstreeks verslag kan uitbrengen aan het wettelijk bestuursorgaan en het directiecomité.  De instellingen waarborgen de onafhankelijkheid en objectiviteit van de informatiebeveiligingsfunctie door deze op passende wijze te scheiden van de processen die verband houden met ICT-ontwikkeling en -activiteiten. Om elk potentieel belangenconflict te vermijden, wordt de instellingen aanbevolen de volgende maatregelen te nemen: de functie en de taken van de CISO en de informatiebeveiligingsfunctie als geheel beschrijven; bepalen welke middelen nodig zijn voor de informatiebeveiligingsfunctie; een budget toewijzen voor informatiebeveiligingsopleidingen binnen de instelling en voor de opleiding van de CISO en zijn of haar personeel; erop toezien dat de CISO-functie onafhankelijk is van de diensten die verantwoordelijk zijn voor de exploitatie en de ontwikkeling van ICT-systemen en ervoor zorgen dat de CISO niet betrokken is bij interneauditactiviteiten.

Voor meer informatie zij verwezen naar de relevante thematische circulaires van de NBB en naar het document getiteld “Principles for the Sound Management of Operational Risk”, dat op 30 juni 2011 door het Bazels Comité voor Bankentoezicht werd gepubliceerd. De NBB houdt bij de uitoefening van haar toezicht rekening met de richtsnoeren van dit referentiedocument; zie hierover mededeling NBB_2011_05.

Wat uitbesteding betreft, zij verwezen naar circulaire NBB_2019_19, die geldt voor alle gevallen van uitbesteding, inclusief gevallen van uitbesteding aan aanbieders van clouddiensten (cloud outsourcing). 

Wat de financiële dienstverlening via het internet betreft, bevat circulaire NBB_2009_17 een reeks aanbevelingen en uitleg over de belangrijkste bepalingen van het bestaand reglementair en prudentieel kader. Deze aanbevelingen zijn met name gebaseerd op een aantal internationale standaarden inzake risicobeheer, die als referentiekader kunnen dienen voor de Belgische praktijk. Ook de EBA-richtsnoeren van 19 december 2014 met betrekking tot de veiligheid van internetbetalingen, die werden omgezet via circulaire NBB_2016_29, bieden in dit verband nuttige toelichting.

Wat betalingsdiensten betreft, verduidelijken circulaires NBB_2020_23 en NBB_2021_21 het toepasselijke kader voor de vaststelling, implementatie en monitoring van de beveiligingsmaatregelen die de instellingen moeten treffen ter beheersing van de operationele en beveiligingsrisico's in het kader van de verstrekking van betalingsdiensten, en, in voorkomend geval, de melding van grote veiligheidsincidenten.