Van de 3.383 incidenten die in 2025 werden geregistreerd, had slechts 10 % betrekking op cyberbeveiliging

Europese financiële instellingen hebben vorig jaar 3.383 ernstige incidenten geregistreerd die verband hielden met hun informatiesystemen. Er waren maar weinig cyberbeveiligingsincidenten. Daarentegen moet het risicobeheer met betrekking tot derde partijen worden versterkt, waarbij met name uitbestede diensten nauwlettend in de gaten moeten worden gehouden.

3.383. Dat is het aantal ernstige incidenten met betrekking tot informatiesystemen dat vorig jaar door Europese financiële instellingen is geregistreerd, volgens een nieuw rapport dat is gepubliceerd door de Europese toezichthouders EBA, EIOPA en ESMA over de impact van DORA (Digital Operational Resilience Act).

Het rapport – het eerste in zijn soort – laat zien dat IT-gerelateerde risico’s steeds grensoverschrijdender en onderling verweven zijn. De autoriteiten benadrukken ook dat de recente ontwikkeling van zeer krachtige AI-tools financiële instellingen ertoe zou moeten aanzetten hun cyberbeveiligingsmaatregelen te versterken om hun veerkracht te behouden.

Het aantal van 3.383 ernstige incidenten komt neer op 0,18 incident per onderworpen entiteit, ofwel een gemiddelde van 282 per maand. De autoriteiten waarschuwen dat dit aantal geen indicatie is van een structurele zwakte. Door de toenemende digitalisering, complexiteit en onderlinge verwevenheid van de sector zijn operationele incidenten deels onvermijdelijk, en veerkracht wordt afgemeten aan het vermogen tot opsporing en beheersing, niet aan het bruto aantal.

Systeemstoringen en externe gebeurtenissen waren de belangrijkste factoren, wat de noodzaak onderstreept van een robuust beheer van risico’s in verband met derden, een doeltreffend toezicht op uitbestede diensten en een nauwe coördinatie met dienstverleners bij de respons op en de afhandeling van incidenten.

Minder dan 10 % van de incidenten houdt verband met cyberbeveiliging

In de overgrote meerderheid van de gevallen is de impact op klanten afwezig of gering. Bijna 60 % van de incidenten treft minder dan duizend klanten; bij twee derde was er geen of slechts een beperkte verstoring van de transacties. Slechts één op de honderd incidenten had gevolgen voor meer dan een miljoen transacties. En minder dan 18 % had gevolgen voor andere financiële tegenpartijen. Door snelle detectie en inperkingsmaatregelen konden de operationele schade en de verspreidingseffecten over het algemeen worden beperkt, ook in een omgeving die gekenmerkt wordt door sterke onderlinge afhankelijkheden.

Slechts 10 % van de gemelde incidenten houdt verband met cyberbeveiliging. Systeemstoringen zijn goed voor 51 %, externe gebeurtenissen voor 27 % en betalingsgerelateerde incidenten voor 18 %. In wezen is de helft van de incidenten het gevolg van een systeemstoring of -defect, gevolgd door externe gebeurtenissen en processtoringen. De autoriteiten interpreteren de lage frequentie van cyberincidenten als een teken dat de bestaande beschermings- en detectiemechanismen het optreden van dergelijke incidenten effectief beperken.

Derden in het vizier

Bijna een derde van de ernstige incidenten vindt zijn oorsprong in een storing die aan een derde partij kan worden toegeschreven, of het nu gaat om een IT-dienstverlener, een andere financiële instelling of een infrastructuurleverancier.

Het rapport maakt hier een centraal toezichtspunt van en benadrukt de noodzaak om het risicobeheer met betrekking tot derden, het toezicht op uitbestede diensten en de coördinatie met dienstverleners tijdens de respons en herstelmaatregelen te versterken. De afhankelijkheid van dienstverleners, zelfs als deze niet als kritiek zijn aangemerkt, vormt een aandachtspunt.

Deze concentratie van het risico bij derden verklaart ook het systeemrisico ervan. Een derde van de 3.383 incidenten had grensoverschrijdende gevolgen, en bijna 8 % trof meer dan tien landen.

Voor een IT-directeur of financieel directeur in de sector verschuift de investeringsprioriteit van louter verdediging tegen aanvallen naar de robuustheid van de systemen, veranderingsbeheer en contractuele controle over dienstverleners. Het rapport beveelt expliciet een verscherpt toezicht op uitbestede diensten en een nauwe coördinatie met leveranciers aan bij de afhandeling van incidenten, wat herziene service level agreements en een actuele inventarisatie van afhankelijkheden veronderstelt.