Van Dunné en Steen werken respectievelijk als senior beleidsmedewerker en beleidsmedewerker bij de divisie toezicht beleid van DNB bij de afdeling technologie en strategie. Ze kijken naar de trends in de komende 3 tot 5 jaar en schrijven daar adviezen over. Ze schreven ook mee aan het rapport “Weerbaar in een gure wereld”. Ook beleidsdossiers als AI, crypto en de implementatie van de EU-verordening DORA (Digital Operational Resilience Act) vallen onder de afdeling technologie en strategie.

Welke ontwikkelingen verwachten jullie de komende jaren?

Van Dunné: ‘Het geopolitieke klimaat is verslechterd. Waar multilaterale samenwerking en internationale vrijhandel lange tijd de kracht waren achter de economische groei die we hebben doorgemaakt, zien we nu dat die plaatsmaken voor protectionisme en blokvorming. We verwachten dat de trend van protectionisme en blokvorming de komende jaren doorzet. Wereldwijd vinden meer conflicten plaats en die krijgen vaker een hybride karakter. Dat zie je bijvoorbeeld met de Russische invasie in Oekraïne. De oorlog wordt niet alleen op de grond gevoerd, maar ook met cyberaanvallen die niet alleen gericht zijn tegen Oekraïne, maar ook tegen landen die Oekraïne steunen. Ook zien we dat overheden uiteenlopende middelen inzetten, zoals handelsbelemmeringen en financiële sancties. Dit heeft impact op financiële instellingen. Dat gebeurt via meerdere kanalen, zoals beleggingen, cyberaanvallen of sancties, en kan zowel invloed hebben op financiële risico’s als operationele risico’s.’

Jullie schrijven dat financiële instellingen stappen moeten zetten om de impact van geopolitieke risico’s te beheersen. Geldt dat ook voor pensioenfondsen?

Steen: ‘Dat geldt zeker ook voor pensioenfondsen. We zien dat de ontwikkelingen in rap tempo plaatsvinden. Het is belangrijk dat financiële instellingen daarop anticiperen. We hebben geprobeerd in kaart te brengen dat er meerdere kanalen zijn waardoor geopolitieke risico’s pensioenfondsen kunnen raken. Zo staan pensioenfondsen via hun beleggingen bloot aan geopolitieke risico’s. Dat zagen we natuurlijk recent na de aankondiging van Trump om de handelstarieven fors te verhogen. Maar ook eerder met de afschrijvingen op Russische activa na de Russische inval in Oekraïne. Pensioenfondsen hebben vooral een enorme blootstelling aan geopolitieke ontwikkelingen via hun beleggingen in bedrijven die via import en export kwetsbaar zijn voor geopolitieke ontwikkelingen, zoals stijgende handelstarieven en verstoringen in mondiale toeleveringsketens.’

Wat kunnen pensioenfondsen doen om deze risico’s te beheersen?

Van Dunné: ‘Het belangrijkste voor financiële instellingen en zeker ook voor pensioenfondsen is dat ze in hun interne risicomanagement de geopolitieke risico’s integraal verankeren. Dat begint met alertheid en reflecteren op de verschillende manieren waarop geopolitieke ontwikkelingen kunnen leiden tot financiële en niet-financiële risico’s. Financiële instellingen hebben de risico’s, zoals kredietrisico, marktrisico, liquiditeitsrisico en operationele risico’s, vaak belegd in silo’s. De ene silo kijkt naar het ene risico, de ander naar het andere risico. Het bijzondere bij geopolitieke ontwikkelingen is dat de risico’s elkaar onderling kunnen versterken. Daarom is het heel belangrijk dat er binnen een financiële instelling of een pensioenfonds een club mensen is die de analyses van de verschillende silo’s bij elkaar brengt. Zo’n interne governance zorgt dat je snel kunt anticiperen. Als DNB gaan wij niet precies voorschrijven hoe je dat moet organiseren. Er zijn meer vormen denkbaar. Maar het is belangrijk dat de analyses van de verschillende silo’s worden samengebracht en dat deze informatie verspreid wordt in de organisatie.’

En als de risico’s zich voordoen?

Van Dunné: ‘Financiële instellingen moeten zorgen dat ze daar plannen voor hebben. Daarbij kun je denken aan scenario analyses of stresstesten.’

Steen: ‘Veel pensioenfondsen doen stresstesten en kijken naar kredietrisico’s of marktrisico’s. Maar kijk ook naar personeel in een bepaalde jurisdictie. Het zou kunnen dat werknemers van vestigingen daar beïnvloed worden of benaderd worden om te helpen bij spionage. Denk ook aan cyberrisico’s. Cyberaanvallen zien we toenemen, zowel in complexiteit als in aantallen. Het is relatief goedkoop, het is lastig te achterhalen wie de aanvallen uitvoert en het kan grote gevolgen hebben voor financiële instellingen. Ook de it-leverancier waar een pensioenfonds mee werkt kan een doelwit zijn. Er is een kwetsbaarheid, niet alleen bij de fondsen zelf, maar ook in de keten. Het is belangrijk om in scenario’s te denken en rekening te houden met alle kanalen waardoor geopolitieke risico’s pensioenfondsen kunnen raken. Als je die niet allemaal meeneemt, heb je een blinde vlek.’

Jullie bepleiten publiek-private samenwerking. Hoe ziet die eruit?

Van Dunné: ‘We verwachten een centralere rol van de overheid. Stel dat er een cyberaanval is. Hoe handelen we in zo’n situatie? Er zijn veel goed opgeleide it’ers in de financiële sector. De overheid zou met de financiële sector kunnen afspreken dat ze een beroep kunnen doen op deze specialisten, of andersom. Tot dat soort gedachten willen we de overheid stimuleren.’

Steen: ‘Pensioenfondsen moeten zich bewust zijn van afhankelijkheden in de keten, bijvoorbeeld in de telecomsector. Maar pensioenfondsen hebben niet altijd de mogelijkheid om andere sectoren in beweging te krijgen. De overheid kan dat wel faciliteren. Daar zien we een rol voor de publieke sector.’

Is dit het somberste rapport van DNB in jaren?

Van Dunné: ‘Het is een rapport waarin we realistisch beschrijven wat we zien gebeuren. Er zijn veel ontwikkelingen en in het nieuws hoor je daar voortdurend over, maar we vonden dat tot op heden de impact op financiële instellingen onderbelicht was. We zien dat financiële instellingen behoorlijk veel doen, maar dat er op sommige vlakken nog stappen gezet moeten worden.’

Steen: ‘Het rapport is ook een waarschuwing. We zeggen niet dat alles wat we opnoemen ook gaat gebeuren. We zeggen vooral: wees erop voorbereid.’

Jullie doen ook onderzoek naar AI. Wat kunnen financiële instellingen verwachten?

Steen: ‘We houden ons nu vooral bezig met de implementatie van de komende AI-act van de Europese Unie. Die vereist extra toezicht. We zien dat steeds meer financiële instellingen en pensioenfondsen AI integreren in hun eigen bedrijfsvoering en producten. Het is belangrijk dat je transparant bent over de implementatie van AI, dat je weet wat AI-modellen doen en dat je geen extra risico’s creëert.’

Wat is de zwarte zwaan?

Steen: ‘ Geopolitieke ontwikkelingen zijn één grote zwarte zwaan. We weten niet van welk geopolitiek conflict we een escalatie kunnen verwachten. China en Taiwan, het Midden-Oosten, Rusland Navo of een wereldwijde handelsoorlog. Het is lastig te zeggen op welk scenario we ons moeten voorbereiden. Maar we weten dat escalatie kan leiden tot marktpaniek, sancties en cyberaanvallen.’

Van Dunné: ‘Des te belangrijker is het om meerdere scenario’s in kaart te brengen en een goede interne governance te organiseren.’

Steen: ‘Kijk vooral naar de gevolgen van de scenario’s. Misschien brengt een ander conflict dezelfde soort risico’s met zich mee. En kijk waar je kwetsbaarheden en blootstellingen zitten.’

Van Dunné: ‘Door de jaren heen zien we dat de financiële sector steeds harder geraakt wordt door hybride oorlogsvoering. Toegang tot financiële infrastructuur en financiële dienstverlening wordt in toenemende mate als drukmiddel ingezet. In de literatuur wordt dit ook wel de weaponisation of finance genoemd. Dat maakt het allemaal nog relevanter.’

Pensioenfondsen krijgen het voor hun kiezen. Ze hebben nu hun handen vol aan de overgang naar het nieuwe stelsel.

Van Dunné: ‘Dat maakt het ingewikkeld, dat zien wij echt wel. Pensioenfondsen focussen zich nu volledig op de transitie naar een nieuw stelsel, maar het is ook belangrijk dat zij goed voor ogen hebben wat de impact kan zijn van geopolitieke ontwikkelingen.’