Een routekaart voor PS21/3: waarom de tijd dringt voor financiële diensten

Door Phil Muncaster • 6 maart 2025

Er is veel geschreven over de noodzaak voor financiële dienstverleners om hun operationele veerkracht te vergroten. Maar de meeste van die column inches hebben zich tot nu toe gericht op de EU-wet inzake digitale operationele veerkracht (DORA), die in januari van kracht werd – ook al hebben veel Britse banken misschien nog niet compliant zijn. Voor veel Britse financiële dienstverleners is de nieuwe beleidsverklaring van de Financial Conduct Authority (FCA) misschien nog wel belangrijker: PS21/3.

Naast de toezichtverklaring van de Prudential Regulation Authority (PRA) SS1 / 21, het vormt een reeks veeleisende nieuwe vereisten voor de sector die uiterlijk 31 maart 2025 van kracht moeten zijn. Voor alle organisaties die overwegen om deze inspanningen stilletjes te deprioriteren, is een Brief “Geachte CEO”. van de FCA begin februari zou de aandacht moeten trekken.

De bottom line is dat de toezichthouder naleving verwacht. Gelukkig kan ISO 27001 organisaties binnen de scope helpen om de cultuur van operationele veerkracht te creëren die de FCA, PRA en DORA eisen.

Digitale verandering betekent digitaal risico

Net als de meeste sectoren is de financiële dienstverlening steeds afhankelijker geworden van digitale infrastructuur om concurrerend te blijven en de naadloze online-ervaring te bieden waar klanten naar op zoek zijn. Vanaf 2024, ongeveer 86% van de Britse volwassenen gebruikte online bankieren, en het cijfer voor dit en mobiel bankieren zal de komende jaren naar verwachting blijven stijgen – deels dankzij de ontwrichtende impact van fintechbedrijven. De Britse markt voor deze bedrijven is waard zijn meer dan $ 24 miljard (£ 19 miljard) in 2029.

De uitdaging met het groeiende tempo van deze digitale transformatie is het extra risico dat ermee gepaard gaat. Een toenemende afhankelijkheid van technologie stelt banken en andere bedrijven bloot aan een groter risico op digitale afpersing, voornamelijk door ransomware, terwijl tegelijkertijd het aanvalsoppervlak wordt uitgebreid, zodat inbreuken bijna onvermijdelijk worden. Dat is een potentieel ernstig reputatie- en financieel risico. Volgens het Internationaal Monetair Fonds (IMF) Wereldwijd rapport over financiële stabiliteit, meer dan 20,000 aanvallen op de bankensector hebben de afgelopen 12 jaar geleid tot verliezen van meer dan $ 9.5 miljard (£ 20 miljard). Bovendien zijn de "extreme verliezen" sinds 2017 meer dan verviervoudigd tot $ 2.5 miljard (£ 2 miljard).

Cyberrisico's komen echter niet altijd van kwaadwillende derde partijen. Eind januari werd een grote IT-storing bij Barclays liet talloze klanten in de steek, zonder dat ze belastingen, rekeningen en hypotheekbetalingen konden betalen of zelfs maar toegang konden krijgen tot de juiste informatie op hun rekeningen. De gevolgen waren zoals verwacht heftig voor de kredietverstrekker, die op het moment van schrijven nog steeds niet had uitgelegd wat de oorzaak van het incident was.

Wat de FCA wil

Daarom lijkt de FCA bijvoorbeeld graag de regelgevingsvereisten rond digitale operationele veerkracht in de sector te willen verhogen. PS21/3 eist dat banken, bouwverenigingen, verzekeraars, betalingsaanbieders en anderen het volgende voor eind maart op orde krijgen:

Identificeer de belangrijkste zakelijke diensten van de organisatie en houd deze regelmatig in de gaten
Stel voor elk van deze services impacttoleranties in en herzie deze regelmatig.
Identificeer en documenteer de mensen, processen, technologie, faciliteiten en informatie die nodig zijn om belangrijke services te leveren. Dit omvat alle leveranciersrelaties die van invloed kunnen zijn op het vermogen van de organisatie om binnen de impacttolerantielimieten te blijven.
Ontwikkel testplannen die beschrijven hoe de organisatie binnen de impacttoleranties voor elke "belangrijke zakelijke dienst" kan blijven - identificeer plausibele scenario's die zijn afgestemd op risico's en kwetsbaarheden. Dit zal senior managers helpen ervoor te zorgen dat plannen voor het verhelpen van kwetsbaarheden op de juiste manier worden gefinancierd
Ontwikkel en test incidentresponsplannen
Voer een zelfevaluatie uit in overeenstemming met handleiding begeleiding aan het relevante bestuursorgaan. Dit moet de reis van de organisatie naar operationele veerkracht benadrukken, inclusief een overzicht van gevonden kwetsbaarheden, geteste scenario's (plus hun uitkomst), herstelplannen en de algemene strategie om binnen de impacttoleranties te blijven voor alle kritieke bedrijfsservices
Regelmatige horizonscanning om nieuwe en opkomende risico's te begrijpen en ervoor te zorgen dat de juiste controles aanwezig zijn om operationele verstoringen te detecteren, erop te reageren en ervan te herstellen.

De FCA heeft al enkele observaties gepubliceerd over huidige nalevingsinspanningen, waarvan het zegt dat ze financiële dienstverleners moeten helpen bij het beoordelen van de gereedheid en het finaliseren van PS21/3-plannen. De toezichthouder wil er met name voor zorgen dat het risico van derden continu en actief wordt beheerd door bedrijven die binnen het bereik vallen, inclusief door middel van testen waar nodig. En dat herstelplannen volledig worden gefinancierd. Het eist ook dat organisaties die voldoen aan de naleving PS21/3 niet behandelen als een "eenmalige en voltooide activiteit", maar in plaats daarvan de vereisten ervan in de bedrijfscultuur verankeren.

Hoe ISO 27001 kan helpen

Dit is waar ISO 27001 tot zijn recht komt. Volgens Sam Peters, Chief Product Officer van ISMS.online, is er afstemming tussen de standaard en PS21/3 op meerdere belangrijke gebieden, waaronder:

Bestuur en verantwoording- Beide benadrukken de verantwoordelijkheid van het leiderschap bij het bepalen en toezicht houden op veerkrachtstrategieën.
Impacttolerantie en risicomanagement - Beide vereisen risicogebaseerde besluitvorming en het vaststellen van risicodrempels om veerkracht te behouden.
Testen en scenario-analyse- Voor beide is regelmatige testprocedure nodig om de operationele veerkracht te beoordelen en te verbeteren, zodat organisaties effectief kunnen omgaan met verstoringen.
Risicobeheer van derden Beide vereisen due diligence bij derden, hoewel ISO 27001 een gestructureerde aanpak biedt voor het beheren van beveiligingsrisico's voor leveranciers.
Incidentrapportage en -respons - Beide vereisen planning van respons op incidenten, hoewel “ISO 27001 verder gaat door te garanderen dat de afhandeling van incidenten wordt gedocumenteerd, gemonitord en in de loop van de tijd wordt verbeterd”, aldus Peters.
Continue verbetering en leren van verstoringen - Beide benadrukken dat er geleerd moet worden van verstoringen om zo de veerkracht voortdurend te vergroten.

"Bedrijven die ISO 27001 gebruiken, hebben al een solide basis om te voldoen aan de FCA-veerkrachtvereisten, met name op het gebied van risicomanagement, incidentrespons en continue verbetering", zegt Peters. "Door ISO 27001 te benutten, kunnen financiële dienstverleners de naleving van FCA-regels versterken en tegelijkertijd hun algehele beveiligingshouding en veerkracht verbeteren."

Zoals gezegd delen de nieuwe FCA-regels ook kernprincipes rondom operationele veerkracht met DORA. Dit omvat grotere leiderschapsverantwoordelijkheid, veerkracht van derden, verbeterde incidentrespons en "het in kaart brengen van kritieke services, het identificeren van kwetsbaarheden en het vaststellen van risicodrempels", aldus Peters. Hoewel de twee regimes verschillen in reikwijdte en handhaving, biedt dit een kans voor Britse financiële bedrijven die in de EU actief zijn om FCA-strategieën voor operationele veerkracht af te stemmen op die van DORA, met ISO 27001 als basis.

Dit zal uiteindelijk “helpen de nalevingsinspanningen te stroomlijnen en de regelgevingsrisico’s te verminderen”, concludeert Peters.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster