Vervolgonderzoek van de AFM naar incidentmeldingen door asset managers
Sinds de uitbraak van het coronavirus wordt ook in de financiële sector meer op afstand samengewerkt. Dat brengt specifieke risico’s met zich mee. De Autoriteit Financiële Markten (AFM) gaat daarom vervolgonderzoek doen naar het melden van incidenten door asset managers. De reden is het uitblijven van een stijging van het aantal incidentmeldingen ondanks herhaalde oproepen daartoe.
Op 23 december 2020 deed de AFM een oproep om incidenten, zoals integriteits- en informatiebeveiligingsincidenten, direct te melden. Daarnaast stuurde de AFM aan asset managers een brief waarin werd gewezen op het belang van het melden van incidenten. Nu blijkt dat de oproep van de AFM niet heeft geleid tot een significante toename van het aantal incidentmeldingen bij de AFM.
Wettelijke meldplicht
Beleggingsondernemingen en beheerders van beleggingsinstellingen zijn wettelijk verplicht om incidenten die een ernstig gevaar vormen voor een integere en beheerste bedrijfsvoering van de financiële onderneming, direct bij de AFM te melden. Dit is dus niet nieuw, maar door de toename van het thuiswerken nemen de integriteits- en informatiebeveiligingsrisico’s bij financiële ondernemingen toe. De AFM deed al eerder onderzoek naar de risico’s van thuiswerken. Mede naar aanleiding hiervan besteedt de AFM meer aandacht aan het melden van incidenten.
De integriteit van financiële ondernemingen is belangrijk voor het maatschappelijk vertrouwen in de financiële sector. Integriteitsincidenten kunnen bijvoorbeeld ontstaan als een cliënt van een financiële onderneming betrokken raakt bij ernstige (economische) strafbare feiten, zoals witwassen. De financiële onderneming loopt dan het risico om gebruikt te worden voor het witwassen van gelden.
Datalekken, DDoS-aanvallen en gehackte computersystemen, of de dreiging daarvan, zijn voorbeelden van informatiebeveiligingsincidenten. Door de toenemende afhankelijkheid van informatiesystemen ziet de AFM de risico’s rond informatiebeveiliging sterk toenemen.
Informatiebeveiligingsincidenten en integriteitsincidenten die een ernstige bedreiging vormen voor een integere en beheerste bedrijfsvoering van de financiële onderneming, moeten direct aan de AFM worden gemeld.
Indien het incident leidt tot een (mogelijk) kapitaaltekort of andere significante prudentiële gevolgen zal ook De Nederlandsche Bank geïnformeerd moeten worden. Verder moet een financiële onderneming beschikken over een zogenoemde incidentenregeling, waarin maatregelen zijn opgenomen die gericht zijn op het beheersen van de risico’s die door het incident zijn opgetreden en het voorkomen van herhaling.
Vervolgonderzoek
Na de oproep in december om incidenten te melden, heeft de AFM een inventarisatie gedaan hoe asset managers omgaan met incidentmeldingen. Hieruit blijkt dat er geen sprake is van een significante toename in het melden van incidenten. Naar aanleiding van deze uitkomsten heeft de AFM besloten om op korte termijn onder een aantal asset managers een vervolgonderzoek te gaan doen. Daarbij zal de AFM kijken naar de wijze waarop asset managers beleid en maatregelen ten aanzien van incidenten in hun bedrijfsvoering hebben geïmplementeerd en de wijze waarop de incidentmeldingsplicht feitelijk wordt nageleefd.
Handhaving
Dat incidentmeldingen altijd leiden tot handhavingsmaatregelen, zoals boetes, is volgens de AFM een misverstand. Een incidentmelding is voor de toezichthouder een belangrijke bron om in haar reguliere toezicht tijdig risico’s te signaleren. Daarnaast is een incidentmelding een startpunt om het toezicht op een onderneming te intensiveren, bijvoorbeeld door contact op te nemen met een financiële onderneming en nadere informatie op te vragen.
Bron: AFM
Dit artikel is op vrijdag 8 oktober 2021 gepubliceerd door DeJurist. Klik hier voor de publicatie.