RBI-regels voor cyberbeveiliging in financiële instellingen

RBI-regels voor cyberbeveiliging in financiële instellingen


De integratie van gegevens en technologie in de banksector heeft geleid tot discussies over IT-governance in de financiële sector. Technologie biedt gemak, maar trekt ook cybercriminaliteit aan. Hierdoor is cyberbeveiliging van cruciaal belang geworden: de marktwaarde van cyberbeveiliging in de banksector bereikte 38,52 miljard dollar in 2021 en zal naar verwachting toenemen met 22,4 procent tegen 2029.

Onder het huidige regime waren er twaalf afzonderlijke richtlijnen en kennisgevingen die de ruimte regelden, maar die door het veranderende landschap als verouderd werden beschouwd. De ontoereikendheid van het bestaande kader blijkt uit het feit dat Indiase banken in 2022 248 datalekken meldden – maar liefst 20 procent van het wereldwijde totaal. Dit zette de RBI ertoe aan om het kader voor IT-governance en cyberbeveiliging voor de financiële sector te herzien. In oktober 2022 bracht de RBI een concept van de nieuwe IT-richtlijnen uit. En op 7 november 2023 meldde de RBI de master direction on ‘Information Technology Governance, Risk, Controls and Assurance Practices’ die op 1 april 2024 van kracht wordt.

De master direction is van toepassing op alle door de RBI gereguleerde entiteiten, behalve lokale banken en NBFC-kernbeleggingsmaatschappijen. De richtlijn schrijft procedures en kaders voor met betrekking tot strategische afstemming, risicobeheer, middelenbeheer, prestatiebeheer en bedrijfscontinuïteits-/calamiteitenherstelbeheer. De richtlijn voorziet ook in periodieke beoordelingen van risico’s, een kader voor risicobeheer op het gebied van IT en informatiebeveiliging, informatiebeveiligingsbeleid en cyberbeveiligingsbeleid.

Het kader voorziet in de oprichting van drie belangrijke comités door de gereguleerde entiteiten – IT-strategiecomité van de raad van bestuur, IT-stuurcomité en informatiebeveiligingscomité. De gereguleerde entiteiten zijn ook verplicht om een senior kaderlid zonder directe rapportageperiode met het hoofd van de IT-functie aan te stellen als ‘chief information security officer’. Verder wordt de gereguleerde entiteiten aanbevolen om minstens om het half jaar ramphersteloefeningen te houden voor kritieke informatie en back-ups te maken van gegevens op een beveiligde manier als maatregel voor bedrijfscontinuïteit.

Eerder waren de raden van bestuur van gereguleerde entiteiten meer gericht op de zakelijke, financiële en kredietrisico’s. Maar nu heeft de RBI extra verplichtingen opgelegd aan de raad van bestuur en het auditcomité van gereguleerde entiteiten, waardoor ze verplicht zijn om ervoor te zorgen dat alle noodzakelijke maatregelen met betrekking tot IT, informatiemiddelen, bedrijfscontinuïteit, informatiebeveiliging en cyberveiligheid periodiek worden geëvalueerd. Het auditcomité wordt verantwoordelijk voor de audit van informatiesystemen van gereguleerde entiteiten.

Rapportage cyberincidenten

In het geval van cyberincidenten moet de gereguleerde entiteit de details meedelen aan de RBI, naast de raad van bestuur, het senior management, klanten en CERT-In. Hoewel de richtlijnen niet expliciet voorzien in strafbepalingen, zullen voor elke overtreding of niet-naleving van de master direction door de gereguleerde entiteiten sancties gelden zoals voorgeschreven in Sectie 46 van de Banking Regulation Act, 1949.

De master direction heeft de essentie van de Digital Personal Data Protection Act, 2023 vastgelegd en is in lijn met de algemene doelstelling van de autoriteiten om de dreiging van datalekken en cyberbeveiligingsincidenten volledig weg te nemen. Gereguleerde entiteiten moeten hun investeringen in cyberbeveiliging en IT-middelen dus aanzienlijk opvoeren, of ze nu intern werken of worden uitbesteed.

De investeringen en inspanningen die de financiële instellingen moeten doen om de richtlijn op te volgen, lijken nu misschien groot, maar op de lange termijn zijn de dividenden veelvoudig, omdat dit het vertrouwen van de klant, de financiële stabiliteit, de gegevensprivacy, de diepgewortelde cyberweerbaarheid, de sterkere merkreputatie en de institutionalisering van goede praktijken ten goede komt.

(Dhir is Senior Partner & Hoofd Corporate, DMD Advocates; Shreyashi is advocaat)

Dit is je laatste gratis artikel.



Source link

Internet Blabla

Internet blabla, probeert de beste cyber security content op het internet te verzamelen en in een overzichtelijk geheel te presenteren. Er zijn meerdere artikelen die aangeleverd worden door lezers en cyber security bedrijven, daarnaast zijn er een aantal bloggers en journalisten actief met het plaatsen van actuele cyber security vraagstukken.