Nieuwe verplichting voor SWIFT-aansluithouders

23 maart 2021 - Organisaties met een SWIFT (Society for Worldwide Interbank Financial Telecommunication) aansluiting zijn verplicht om een onafhankelijke security audit uit te voeren. Het doel van de verplichte controle is om het internationaal betalingsverkeer veiliger te maken en het risico op fraude te reduceren. De audit moet uiterlijk 31 december 2021 voltooid zijn.

Deze stap van SWIFT is onderdeel van het Customer Security Program, een meerjarenplan om de veiligheid en weerbaarheid van de transactieketen te versterken. Inmiddels telt het SWIFT-netwerk meer dan 11.000 aangesloten organisaties verdeeld over ruim 200 landen.

Cybersecurity audit

Tot nu toe kon volstaan worden met een certificaat van SWIFT dat werd verleend op basis van een self-assessment. SWIFT deelnemers maakten zelf een risico-inschatting van de veiligheid van de partij waar berichten mee worden uitgewisseld.

Dit gaat veranderen. Organisaties dienen voor het einde van het jaar een cybersecurity audit te laten uitvoeren door een onafhankelijk IT auditor.

Voor wie geldt deze verplichting?

De verplichting geldt voor alle aangesloten SWIFT organisaties:

  • Betalings-, effecten-, treasury marktinfrastructuren
  • Brokers en dealers
  • Bewaarders
  • Investeringsmanagers
  • Fondsdeelnemers
  • Handelsplatformen
  • Matchende utilities
  • Clearing houses

Hoe gaat de audit in zijn werk? 

Voor de uitvoering van de audits stelt SWIFT het Customer Security Controls Framework (CSCF) aan de auditors beschikbaar, bestaande uit een set verplichte maatregelen en optionele maatregelen. Welke op uw organisatie van toepassing zijn, is afhankelijk van een aantal factoren zoals uw IT-architectuur en de wijze waarop u uw IT-objecten heeft georganiseerd.

De eerste stap bij de audit is dan ook het vaststellen van de scope, waarna een gap-analyse en de daadwerkelijke audit  plaatsvindt. U ontvangt een rapportage waarmee u SWIFT kunt aantonen dat u aan uw verplichtingen heeft voldaan.

In onze flyer 'Cybersecurity audit, nieuwe verplichting voor SWIFT-aansluithouders' leest u meer over de criteria waarop uw cybersecurity getoetst wordt, de wijze waarop de scope van de audit wordt vastgesteld en onze werkwijze bij het uitvoeren van de cybersecurity audit.

Audit dient voor 31 december 2021 uitgevoerd te worden

Gezien de nieuwe eis van SWIFT om voor 31 december 2021 een onafhankelijke audit uit te laten voeren, verwachten wij een piek in deze activiteiten voor dit jaar. Het is aan te bevelen om zo snel mogelijk in actie te komen en de auditwerkzaamheden voor te bereiden en te plannen.

Meer weten?

Wilt u graag meer weten over wat wij voor u kunnen betekenen op het gebied van een SWIFT-audit? Neem dan contact op met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99 of Achmed Bouazza per e-mail of per telefoon: +31 (0)88 277 13 88. Zij helpen u graag verder.

Document

Cybersecurity audit, nieuwe verplichting voor SWIFT-aansluithouders.pdf
Cybersecurity audit, nieuwe verplichting voor SWIFT-aansluithouders.pdf