Melden ICT-incidenten
Door de toenemende afhankelijkheid van financiële instellingen van informatiesystemen, ziet de AFM de risico’s rond informatiebeveiliging sterk toenemen. Een informatiebeveiligingsincident is een gebeurtenis die daadwerkelijk of mogelijk de vertrouwelijkheid, integriteit of beschikbaarheid van een informatiesysteem of de informatie die het systeem verwerkt, opslaat of verzendt, in gevaar brengt.
De AFM vraagt ondernemingen incidenten direct te melden. Financiële instellingen die onder DORA vallen zijn verplicht ernstige ICT-incidenten te melden bij de toezichthouder.
Meldproces
Incidentmeldingen kunt u aan de AFM doorgeven via het e-mailadres meldingenformulier@afm.nl. Maak hiervoor gebruik van Cryptshare om gegevens veilig uit te wisselen.
Geef in uw melding altijd de volgende gegevens op:
- Een omschrijving van het incident;
- De datum waarop het incident plaatsvond;
- De datum van ontdekken van het incident;
- Indien van toepassing: het aantal klanten van uw onderneming dat getroffen is door het incident.
- Indien van toepassing: de (geschatte) omvang van de schade.
- Wat uw onderneming doet/heeft gedaan om het incident te beheersen.
- Welke maatregelen uw onderneming treft om toekomstige gelijksoortige incidenten te voorkomen.
Als uw onderneming zelf onderzoek doet of laat doen naar het incident, moet uw onderneming toch het incident onverwijld aan de AFM melden, ook al is het onderzoek nog niet afgerond. Wel ontvangen wij graag achteraf de uitkomst van het onderzoek als aanvullende melding. Ook adviseren wij u bij twijfel het incident altijd te melden.
Indien sprake is van een incident met significante prudentiële gevolgen voor uw onderneming, dient u daar eveneens melding van te maken bij De Nederlandsche Bank (DNB). U kunt dit doen bij via het emailadres infobetaalinstelling@dnb.nl
De wettelijke verplichting: wat verwachten wij van u?
Incidentmeldingen aan de AFM zijn verplicht. Wij gebruiken deze in ons toezicht op individuele ondernemingen en om tijdig risico’s in de sector te signaleren en op basis daarvan richting te geven aan ons risico gestuurd toezicht. Meldingen dragen daarmee bij aan eerlijke en transparante markten.
De wettelijke verplichting vereist dat:
1) uw onderneming beleid heeft voor de omgang met en vastlegging van incidenten;
2) uw onderneming maatregelen neemt als een incident zich voordoet, gericht op het beheersen van de opgetreden risico’s en het voorkomen van herhaling;
3) uw onderneming een registratie van incidenten onderhoudt;
4) u incidenten die een ernstige bedreiging vormen voor de integere of beheerste bedrijfsvoering onverwijld aan de AFM meldt.
Wij verwachten dat u incidenten die een ernstige bedreiging vormen voor de integere of beheerste bedrijfsvoering, onverwijld bij ons meldt.
Meer informatie
Op de pagina Wat zijn misstanden en incidenten? vindt u meer informatie over incidenten en de incidentmeldingsplicht. Als het antwoord op uw vraag hier niet tussen staat, kunt u contact opnemen met het Ondernemersloket.
Voorbeelden van incidenten en meldingen
Voor informatiebeveiligingsincidenten geldt dat u deze moet melden wanneer het incident een ernstige bedreiging vormt voor de integere en beheerste bedrijfsvoering van uw onderneming. Een aantal voorbeelden van informatiebeveiligingsincidenten kunnen zijn:
- Diefstal of verlies van ICT-middelen met vertrouwelijke data van de onderneming.
- Ongeautoriseerde toegang tot de ICT-infrastructuur van de onderneming, eventueel met ongeautoriseerde transacties tot gevolg.
- De installatie van malware op systemen van de onderneming.
- Een datalek, waarbij vertrouwelijke informatie terecht is gekomen in het publieke domein.
- DDoS aanvallen of de dreiging daarvan.