Handelsplatformen en HERs anticiperen op verhoogde risico’s IT-incidenten
Handelsplatformen en Handelaren voor eigen rekening (HERs) anticiperen op de verhoogde risico’s op IT-incidenten binnen de kapitaalmarkten. De AFM heeft een overzicht gemaakt van de maatregelen die deze kapitaalmarktpartijen daartegen nemen. Uit het overzicht blijkt dat nog niet alle handelsplatformen en HERs geheel DORA-proof zijn. De AFM roept kapitaalmarktondernemingen op tijdig te beginnen met de invoering van deze nieuwe digitale Europese wetgevingsvereisten (Digital Operational Resilience Act), die in 2025 van kracht wordt.
In het kort
• Handelsplatformen en HERs anticiperen op verhoogde risico’s IT-incidenten
• AFM brengt overzicht geïdentificeerde maatregelen in kaart
• Niet alle handelsplatformen en HERs geheel DORA-proof
• AFM roept op tijdig te beginnen met invoering DORA
Handelsplatformen en HERs hebben een wettelijke plicht om incidenten te melden bij de AFM. IT-gerelateerde incidenten, zoals cyber-aanvallen of systeemstoringen, en uitbestede IT-diensten vallen ook onder deze meldingsplicht. Incidentmeldingen stellen de AFM in staat risico-gestuurd toezicht te houden op de robuustheid van de kapitaalmarktinfrastructuur. De AFM onderzocht voor dit onderzoek acht kapitaalmarktpartijen op hun IT-management.
Toenemende digitalisering, toenemende cyberdreigingen
De combinatie van toenemende digitalisering en toenemende cyberdreigingen verhoogt het risico op IT-incidenten die een aanzienlijke impact kunnen hebben op de onderneming. Het gaat daarbij om uitval van handelssystemen, verbindingsproblemen en softwarefouten. De AFM verwacht dat kapitaalmarktpartijen beoordelen wat de risico’s zijn van IT-incidenten voor hun bedrijfsvoering en of er verbeteringen nodig zijn in het IT-incidentenbeheer voor een beheerste en integere bedrijfsvoering.
Incidentmeldingen en zelfonderzoek marktpartijen
De AFM heeft zich in dit onderzoek gebaseerd op incidentmeldingen en onderzoek bij acht handelsplatformen en HERs. Vervolgens heeft de AFM een overzicht gemaakt van de in dit onderzoek geïdentificeerde maatregelen. Op basis van deze maatregelen kunnen ondernemingen hun IT-incident management verbeteren.
Nog niet DORA-proof
De AFM constateert dat het incident management bij de onderzochte kapitaalmarktpartijen nog niet geheel voldoet aan de aanvullende wettelijke eisen van de Digital Operational Resilience Act (DORA) die in 2025 van kracht wordt. De AFM benadrukt het belang van het tijdig beginnen met de invoering van de DORA-vereisten.
Meer informatie
Exploratory study 'IT Incident Management in Capital Markets' (pdf, 264kB)
Contact bij dit artikel
Wilt u het laatste nieuws van de AFM ontvangen?
Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.