Een nieuwe EU-verordening bevat uniforme vereisten voor de beveiliging van netwerk- en informatiesystemen van bedrijven en organisaties die actief zijn in de financiële sector en van cruciale derde partijen die hen ICT-gerelateerde diensten verlenen. Alle entiteiten die onder het toepassingsgebied van de verordening vallen, moeten ervoor zorgen dat zij bestand zijn tegen, kunnen reageren op en kunnen herstellen van alle soorten ICT-gerelateerde verstoringen en dreigingen. Het hoofddoel van de verordening is cyberdreigingen voorkomen en beperken.

Kapitaalmarktinstellingen leunen steeds meer op steeds complexere IT-omgevingen. Dat maakt de instellingen kwetsbaar voor cyberaanvallen die de bedrijfscontinuïteit ernstig kunnen verstoren. Uit zelfonderzoeken (self assessments) van 14 kapitaalmarktinstellingen geeft 80% aan hoge risico’s te lopen als ICT-beheersmaatregelen niet op orde zouden zijn. Vooruitlopend op nieuwe Europese regelgeving (DORA) doet de AFM 7 aanbevelingen voor de sector, waaronder het hebben èn onderhouden van een cyberincidentenplan.

Een nieuwe EU-richtlijn voorziet in maatregelen die erop gericht zijn een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bereiken. Het doel van de richtlijn is een veerkrachtigere publieke en particuliere sector, en een grotere responscapaciteit bij incidenten. De nieuwe richtlijn zal de huidige richtlijn over beveiliging van netwerk- en informatiesystemen vervangen. Op 27 december 2022 is de richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU (NIS2-richtlijn) in het Publicatieblad van de EU gepubliceerd. De nieuwe richtlijn zal de huidige richtlijn netwerk- en informatiebeveiliging (NIS-richtlijn) vervangen.