DORA: aftellen tot datum verplichte naleving

DORA: aftellen tot datum verplichte naleving

12 februari 2024

De Europese Digital Operational Resilience Act (DORA) is op 16 januari 2023 van kracht geworden. Daarmee is een termijn van 24 maanden ingegaan waarbinnen financiële entiteiten hun activiteiten in lijn met de uitgebreide vereisten van DORA moeten brengen. Nu de helft van deze termijn is verstreken, is het goed om eens stil te staan bij een aantal belangrijke vereisten uit DORA waarover verschillende belangrijke vragen zijn gerezen. Over het algemeen loopt het aantal ICT-diensten waarvan een financiële entiteit gebruikmaakt uiteen van een tiental tot honderden of zelf nog meer, al naargelang de activiteiten, omvang en complexiteit van die entiteit. DORA is dan ook enorm relevant voor financiële entiteiten.

De belangrijkste verplichtingen uit DORA voor financiële entiteiten kunnen in vijf categorieën worden onderverdeeld: (i) kader voor ICT-risicobeheer, (ii) beheer, classificatie en rapportage van ICT-incidenten, (iii) testen van digitale operationele weerbaarheid, (iv) beheer van ICT-risico van derde aanbieders en (v) informatie-uitwisselingsregelingen.

In deze News Update wordt ingegaan op het toepassingsgebied van DORA, onder meer op welke partijen de verordening van toepassing is en welke partijen (voorlopig) daarvan zijn vrijgesteld. Zijn er partijen waarvoor een aanzienlijk lichtere regeling geldt? Wat houdt evenredigheid in onder DORA? Welke kernverplichtingen hebben de grootste wezenlijke gevolgen? Ook gaan we in op het beperkte gebruik van evenredigheid. Vervolgens duiken we in de vereisten in verband met het kader voor ICT-risicobeheer en het beheer van ICT-risico van derde aanbieders. Onbesproken blijven de onderwerpen beheer, classificatie en rapportage van ICT-incidenten; testen van digitale operationele weerbaarheid; en informatie-uitwisselingsregelingen.

Omdat DORA niet de eerste wetgeving voor financiële entiteiten is over risicobeheer met betrekking tot derde aanbieders, zullen we specifiek bespreken in hoeverre de gevolgen ervan worden beperkt door naleving van gerelateerde wetgeving. Hieronder vallen onder meer de EBA-richtsnoeren inzake uitbesteding, de richtsnoeren van EIOPA voor uitbesteding aan aanbieders van clouddiensten, BRRD/IRRD en de SRB's Expectations for Banks.

Toepassingsgebied DORA

DORA is erop gericht ICT-risico's bij financiële entiteiten te voorkomen en te beheersen. Deze risico's ontstaan als gevolg van ICT-diensten die door derde en interne aanbieders van ICT-diensten worden geleverd. ICT-diensten worden in DORA gedefinieerd als "digitale en gegevensdiensten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden verleend, waaronder hardware als dienst en hardwarediensten, met inbegrip van het verlenen van technische ondersteuning via software- of firmware-updates door de hardwareaanbieder, met uitzondering van traditionele analoge telefoondiensten".

Financiële entiteiten

Financiële entiteiten worden in DORA gedefinieerd als in de EU gereguleerde financiële entiteiten, zoals kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, verzekeraars en herverzekeraars, pensioenfondsen, aanbieders van cryptoactivadiensten, beheerders van beleggingsinstellingen en verzekeringstussenpersonen. Onder bepaalde omstandigheden geldt DORA ook voor derden die kritieke ICT-diensten aan financiële entiteiten aanbieden, zoals aanbieders van clouddiensten. 

Vrijstellingen

Voor slechts één categorie financiële entiteiten geldt onder DORA een ruimere vrijstelling: verzekerings- en herverzekeringstussenpersonen die als micro-ondernemingen of als kleine of middelgrote ondernemingen kunnen worden aangemerkt. Hiertoe behoren alle tussenpersonen met minder dan 250 werknemers. Ook mag de jaaromzet ten hoogste EUR 50 miljoen bedragen of de balans ten hoogste EUR 43 miljoen, of beide. Daarnaast vallen ook alternatieve beleggingsinstellingen die onder het registratieregime opereren, beleggingsondernemingen die geen vergunning onder MiFID II hebben en bepaalde kleinere verzekeraars en bedrijfspensioenfondsen met minder dan vijftien deelnemers buiten het toepassingsgebied van DORA.

Momenteel buiten het toepassingsgebied van DORA

Vergunningplichtige entiteiten waarvan de vergunning uitsluitend is gebaseerd op de nationale wetgeving van een lidstaat vallen niet binnen het toepassingsgebied van DORA. Voor Nederland zijn dit onder meer ondernemingen voor consumentenkrediet, en adviseurs en tussenpersonen voor financiële producten en diensten, met uitzondering van verzekerings- en herverzekeringsproducten. Deze vergunninghouders hebben geen rechtsgrondslag in Europese wetgeving. Deze Nederlandse vergunningplichtige entiteiten moeten er alert op zijn of er voor hen in de toekomst wellicht vergelijkbare nationale wettelijke bepalingen of richtsnoeren van de nationale toezichthouder zullen gaan gelden. De Autoriteit Financiële Markten (AFM) heeft dit onlangs wel gesuggereerd (AFM-rapport).

Evenredigheid

Artikel 4 van DORA biedt financiële entiteiten een rechtsgrondslag om de vereisten van DORA overeenkomstig het evenredigheidsbeginsel toe te passen, rekening houdend met hun omvang en risicoprofiel en met de aard, schaal en complexiteit van hun activiteiten. Er wordt echter niet toegelicht wat dit inhoudt en op welke manier financiële entiteiten het evenredigheidsbeginsel kunnen toepassen en tegelijk aan de voor hen geldende vereisten kunnen voldoen.

Daarnaast zijn micro-ondernemingen (minder dan tien werknemers; en een balans en/of jaaromzet van ten hoogste EUR 2 miljoen) van een aantal specifieke vereisten vrijgesteld. Toch moeten ook deze micro-ondernemingen aan DORA voldoen.

Een van de belangrijkste gebieden waar evenredigheid op een betekenisvolle manier in DORA wordt toegepast, is in artikel 16 (Vereenvoudigd kader voor ICT-risicobeheer). Kleine en niet-verweven beleggingsondernemingen, instellingen voor elektronisch geld en betalingsinstellingen die zijn vrijgesteld, hoeven niet te voldoen aan de uitgebreide vereisten met betrekking tot ICT-risicobeheer zoals opgenomen in artikel 5 tot en met 15 DORA. Ook hoeven ze geen uitgebreide beleidsregels en strategie inzake ICT-risico van derde aanbieders te hebben (artikel 28). In plaats daarvan moeten deze ondernemingen aan de beperkte vereisten van artikel 16 voldoen. Wij concluderen echter dat de meeste Europese financiële entiteiten DORA volledig zullen moeten naleven.

Een ander punt met betrekking tot evenredigheid is dat meerdere vereisten uit DORA zijn onderworpen aan gedelegeerde regelgeving over onder meer risicobeheer, contractbepalingen, rapportageverplichtingen inzake ICT-incidenten en het beleid inzake ICT-risico van derde aanbieders. Over een aantal van deze onderwerpen krijgen de Europese toezichthoudende autoriteiten (ETA's) in DORA de instructie om bij het opstellen van deze technische normen evenredigheid in acht te nemen en daarbij rekening te houden met onder meer de omvang en het algehele risicoprofiel van de financiële onderneming en met de aard, schaal en complexiteit van de diensten ervan. In de definitieve ontwerpen van de technische normen die de ETA's op 17 januari 2024 hebben gepubliceerd (persbericht EBA van januari (in het Engels)) lijkt de mate van evenredigheid echter beperkt. Hetzelfde geldt voor de tweede verzameling technische reguleringsnormen, die op 8 december 2023 als eerste ontwerpen zijn gepubliceerd (persbericht EBA van december (in het Engels)).

Kader voor ICT-risicobeheer

Alle financiële entiteiten moeten in het kader van hun ICT-risicobeheer over een uitgebreid stelsel van processen, controles, strategieën voor digitale operationele weerbaarheid, beleidslijnen en procedures, en ICT-protocollen en -instrumenten beschikken. Deze maatregelen, die samen het kader voor risicobeheer onder DORA vormen, moeten onder meer zijn gericht op governance en organisatie; het kader voor ICT-risicobeheer; ICT-systemen, -protocollen en -instrumenten; bescherming en voorkoming; detectie; respons en herstel; back-upbeleid, terugzetting en herstel; scholing en ontwikkeling; en crisiscommunicatieplannen (artikel 5 tot en met 14 DORA). Uitgebreide regels met betrekking tot dit kader zullen in de technische reguleringsnormen worden neergelegd. Globaal bezien worden met dit kader de volgende vier doelstellingen beoogd.

Governance

Financiële entiteiten moeten ervoor zorgen dat ICT-risicobeheer in hun interne governance- en controlekader wordt verankerd. Hiervoor zijn zeggenschap en actieve betrokkenheid op bestuursniveau vereist, vooral bij de implementatie van alle regelingen in verband met het kader voor ICT-risicobeheer.

Toezicht op eigen ICT-landschap

Een financiële entiteit moet ervoor zorgen dat haar ICT-landschap en de afzonderlijke onderdelen daarvan worden geïdentificeerd en afgezet tegen de bedrijfsfuncties en kritieke functies van de organisatie. Kritieke functies worden in DORA gedefinieerd als: "een functie waarvan de verstoring wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit of aan de soliditeit of de continuïteit van haar diensten en activiteiten, of waarvan de beëindiging of gebrekkige of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en verplichtingen uit hoofde van haar vergunning of haar andere verplichtingen uit hoofde van het toepasselijke recht inzake financiële diensten". De volgende aspecten moeten in voldoende detail worden geïdentificeerd, geclassificeerd, beschreven en gedocumenteerd:

  • alle door ICT ondersteunde bedrijfsfuncties, taken en verantwoordelijkheden (artikel 8 lid 1 DORA);
  • alle informatie- en ICT-activa die deze bedrijfsfuncties ondersteunen, en hun taken en afhankelijkheden met betrekking tot ICT-risico's (artikel 8 lid 1);
  • alle informatieactiva (gegevensreeksen) en ICT-activa (software- of hardwareactiva die onderdeel van het informatiesysteem zijn) die ter ondersteuning van kritieke of belangrijke functies worden gebruikt (artikel 8 lid 4 DORA);
  • alle bedrijfsfuncties die afhankelijk zijn van derde aanbieders van ICT-diensten, met name dienstverleners die kritieke of belangrijke bedrijfsfuncties ondersteunen (artikel 8 lid 5 DORA);
  • een informatieregister met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten (artikel 28 lid 3 DORA).
  •  

ICT-risico's identificeren en detecteren

Financiële entiteiten moeten de ICT-risico's waaraan zij zijn blootgesteld identificeren. Daarvoor moeten zij permanent aan de volgende vereisten voldoen en de doeltreffendheid van deze maatregelen periodiek actualiseren en waar nodig testen.

  • Breng alle bronnen van ICT-risico, cyberdreigingen en ICT-kwetsbaarheden in kaart die relevant zijn voor de bedrijfsfuncties en informatie- en ICT-activa (artikel 8 lid 2 DORA).
  • Verricht eenmaal per jaar of vaker een ICT-risicobeoordeling op alle legacy-ICT-systemen (artikel 8 lid 7 DORA).
  • Monitor en controleer voortdurend de beveiliging en werking van de ICT-systemen en zet passende ICT-beveiligingsinstrumenten, -beleidslijnen en -procedures in (artikel 9 lid 1 DORA).
  • Zorg voor mechanismen om afwijkende activiteiten zo spoedig mogelijk te detecteren, met inbegrip van kwesties op het gebied van prestaties en ICT-incidenten, en om potentiële zwakke fysieke punten te identificeren (artikel 10 lid 1 DORA).
  • Voer een bedrijfsimpactanalyse (BIA) uit van de blootstelling aan ernstige verstoringen van de bedrijfsactiviteiten. In de BIA moeten de potentiële gevolgen van ernstige verstoringen van de bedrijfsactiviteiten worden beoordeeld aan de hand van kwantitatieve en kwalitatieve criteria, in voorkomend geval met behulp van interne en externe gegevens en scenarioanalyse (artikel 11 lid 5 DORA).
  •  

Respons op ICT-incidenten

Financiële entiteiten moeten ervoor zorgen dat zij in staat zijn onmiddellijk en doeltreffend te reageren op de ICT-incidenten waarmee zij te maken krijgen. Hiertoe moeten zij over het volgende beschikken:

  • Een alomvattend ICT-bedrijfscontinuïteitsbeleid en bijbehorende respons- en herstelplannen die in de organisatie zijn geïmplementeerd, die erop gericht zijn de continuïteit van de kritieke of belangrijke functies van de financiële entiteit te verzekeren en op een snelle, passende en doeltreffende wijze een respons en een oplossing te bieden voor alle ICT-gerelateerde incidenten (artikel 11 lid 1 en 4 DORA);
  • Een netwerkaansluitinfrastructuur die op zodanige wijze is ontworpen dat deze onmiddellijk kan worden afgekoppeld of gesegmenteerd teneinde besmetting te beperken en te voorkomen (artikel 9 lid 4 DORA).
  • Een functie voor crisisbeheer voor het beheer van interne en externe crisiscommunicatie (artikel 11 lid 7 DORA).
  •  

Beheer van ICT-risico van derde aanbieders en contractuele vereisten

DORA heeft gevolgen voor alle contractuele relaties die een financiële entiteit met haar aanbieders van ICT-diensten heeft, ongeacht of deze contractuele relatie als uitbesteding kan worden aangemerkt of een kritieke of belangrijke functie betreft. DORA geldt ook voor alle ICT-overeenkomsten binnen een groep. Financiële entiteiten moeten een persoon aanwijzen, bijvoorbeeld een lid van het hoger leidinggevend personeel, om de overeenkomsten met derde aanbieders van ICT-diensten te monitoren, met name de desbetreffende risicoblootstelling en de relevante documentatie (artikel 5 lid 3 DORA).

Bovendien moeten financiële entiteiten een strategie inzake ICT-risico van derde aanbieders vaststellen en deze regelmatig herzien. De strategie inzake ICT-risico van derde aanbieders moet een beleid omvatten inzake het gebruik van door derde aanbieders verleende ICT-diensten die kritieke of belangrijke functies ondersteunen. Ook moeten financiële entiteiten een actueel en gedetailleerd register bijhouden met betrekking tot alle contractuele overeenkomsten met derde aanbieders van ICT-diensten. Deze contractuele overeenkomsten moeten naar behoren worden gedocumenteerd, waarbij wordt aangegeven of de ICT-dienst kritieke of belangrijke functies ondersteunt. Het register moet op verzoek aan de toezichthouder ter beschikking worden gesteld (artikel 28 lid 3 DORA).

Specifiekere vereisten over de inhoud van het beleid inzake het gebruik van ICT-diensten en over het register van contracten met derde aanbieders van ICT-diensten, waaronder modellen voor het register, zullen in technische reguleringsnormen en technische uitvoeringsnormen worden neergelegd. Op grond van de ontwerpen voor de technische uitvoeringsnormen, waarin de vereisten voor het register van ICT-contracten zijn opgenomen, zijn voor elk ICT-contract honderd of meer datapunten vereist, veel meer dan voor het register onder de EBA-richtsnoeren inzake uitbesteding.

Daarnaast moeten financiële entiteiten ervoor zorgen dat elk ICT-contract de gedetailleerde minimumcontractbepalingen bevat die op grond van artikel 30 DORA (Belangrijke contractuele bepalingen) zijn vereist. Het gaat daarbij bijvoorbeeld om beëindigingsrechten, aanwijzing van locaties voor gegevensverwerking, vereisten voor een gedetailleerde beschrijving van diensten en garanties over toegang tot bedrijfsruimtes door toezichthouders, en vereisten voor herstel bij een falende dienstverlening.

Met betrekking tot ICT-contracten die kritieke of belangrijke functies ondersteunen moeten aanvullende contractuele vereisten worden overeengekomen. Financiële entiteiten moeten ervoor zorgen dat in elk ICT-contract passende en gedetailleerde audit- en beëindigingsrechten worden opgenomen. Ook moeten zij exitregelingen vaststellen. Daarnaast moeten financiële entiteiten vóór het sluiten van een ICT-contract waarmee kritieke of belangrijke functies worden ondersteund met succes een risicobeoordeling doorlopen en hun toezichthouder informeren (artikel 28 lid 4 DORA).

Elk van de hiervoor genoemde aspecten moet voldoende aan de orde komen, niet alleen in het bestaande uitbestedingsbeleid maar ook in inkoopbeleid en -procedures. Zoals gezegd is DORA niet beperkt tot overeenkomsten voor de uitbesteding van ICT-diensten maar heeft de verordening betrekking op alle ICT-contracten.

Overlapping met bestaande uitbestedingswetgeving

Op grond van bestaande Europese en nationale wetgeving moeten verschillende soorten financiële entiteiten, zoals banken, betalingsinstellingen, verzekeraars, pensioenfondsen, fondsbeheerders en beleggingsondernemingen, al specifieke minimumcontractbepalingen opnemen in hun materiële uitbestedingsovereenkomsten, waaronder materiële overeenkomsten voor de uitbesteding van ICT-diensten. Deze instellingen moeten er rekening mee houden dat de vereisten die in DORA voor ICT-contracten zijn opgenomen meer zijn dan slechts een aanvulling op of uitbreiding van reeds bestaande vereisten. 

Bestaande regelgeving over uitbesteden schept slechts verplichtingen met betrekking tot een deel van de ICT-contractportefeuille van een instelling. Zelfs wanneer een instelling juist en volledig aan die bestaande vereisten voldoet, moet er nog altijd een zeer grote kloof worden gedicht om aan DORA te voldoen. Met andere woorden: het beeld dat financiële entiteiten die de bestaande regelgeving over uitbesteding al naleven slechts beperkte maatregelen hoeven te nemen om volledig aan DORA te voldoen is onjuist.

Hiervoor zijn twee redenen. Allereerst is het toepassingsgebied van DORA veel breder dan dat van bestaande sectorale vereisten voor uitbesteding, zoals de EBA-richtsnoeren inzake uitbesteding. Deze bestaande regelgeving geldt uitsluitend voor uitbestedingsovereenkomsten of kan zelfs beperkt zijn tot uitbestedingsovereenkomsten die als kritiek of belangrijk kunnen worden aangemerkt. De DORA-vereisten gelden voor alle ICT-contracten, ongeacht of deze als uitbesteding of als de generieke levering van ICT-diensten kunnen worden aangemerkt. Ten tweede geldt dat er binnen de behandelde onderwerpen weliswaar enige overlap is met de verplichte contractuele vereisten, maar DORA bevat meerdere vereisten die nog niet in andere bestaande wetgeving voorkomen. Zelfs waar sprake is van overlap, zijn de DORA-vereisten bovendien in meerdere gevallen uitgebreider of strikter dan de vergelijkbare vereisten in andere wetgeving. Een belangrijk aandachtspunt zijn de uitgebreide contractuele vereisten voor onderaanneming door aanbieders van ICT-diensten.

Anders gezegd: de bestaande wetgeving beslaat maar een klein deel van de ICT-contractenportefeuille van een financiële entiteit. ICT-contracten die niet als uitbesteding gelden, vallen over het algemeen buiten het toepassingsgebied van bestaande wetgeving. Ook wanneer een financiële entiteit de EBA-richtsnoeren inzake uitbesteding of vergelijkbare bestaande wetgeving volledig heeft geïmplementeerd, zal zij daarmee aan slechts een deel van de belangrijkste vereisten in DORA hebben voldaan. Zelfs dan zullen de bestaande overeenkomsten voor de uitbesteding van ICT-diensten niet alle onder DORA verplichte bepalingen bevatten. Financiële entiteiten die niet al binnen het toepassingsgebied van de EBA-richtsnoeren inzake uitbesteding of vergelijkbare bestaande wetgeving vallen, zullen hun gehele ICT-contractenportefeuille op de schop moeten nemen.

Belangrijkste actiepunten en aanbevelingen

Om aan de in deze update besproken DORA-vereisten te voldoen, zullen financiële entiteiten in ieder geval de volgende stappen moeten nemen. De beknopte versie van deze stappen is bedoeld als globaal overzicht en is in geen geval volledig. Voor elk van deze vereisten is specifiekere begeleiding nodig en gelden nadere vereisten. Wij helpen u graag uw weg in deze regelgeving te vinden en uw onderneming op DORA voor te bereiden.

Identificatie van ICT-diensten en bedrijfsfuncties

  • Identificeer alle interne en externe ICT-diensten die de onderneming ondersteunen en houd hiervan een actuele inventaris of database bij.
  • Identificeer alle ICT-informatieactiva en -bedrijfsactiva binnen de organisatie en houd hiervan een actuele inventaris of database bij.
  • Stel een database samen met daarin alle ICT-diensten, rekening houdend met de minimumgegevensvereisten onder DORA.
  • Identificeer alle bedrijfsfuncties met een voldoende granulariteitsniveau en houd daarvan een administratie bij, bijvoorbeeld door een actuele inventaris of database bij te houden.
  • Implementeer een definitie van kritieke of belangrijke (bedrijfs)functies die passend is voor de onderneming en overeenstemt met de definitie uit DORA en identificeer aan de hand daarvan welke bedrijfsfuncties "kritieke of belangrijke functies" vormen.
  •  

In lijn brengen van contracten

  • Centraliseer alle IT-contracten en stel vast welke daarvan kritieke of belangrijke functies ondersteunen.
  • Analyseer alle IT-contracten en identificeer tekortkomingen met het oog op de DORA-vereisten voor ICT-contracten.
  • Stel een voldoende nauwkeurig actieplan op, met termijnen voor het oplossen van geïdentificeerde tekortkomingen in ICT-contracten.
  •  

Governance en risicobeheer

  • Stel een strategie voor ICT-risico op of actualiseer een bestaande strategie voor ICT-risico, waarbij rekening wordt gehouden met de minimumvereisten onder DORA, waaronder zeggenschap over ICT-risico op bestuursniveau en aanzienlijke betrokkenheid van het bestuur in de opzet, implementatie, monitoring en actualisering van deze strategie voor ICT-risico en het kader voor ICT-risicobeheer.
  • Stel IT-beleid op of actualiseer bestaand IT-beleid, waaronder beleid inzake ICT-bedrijfscontinuïteit, ICT-respons- en -herstelbeleid, en uitbestedings- en inkoopbeleid, zodat op behoorlijke wijze wordt aangesloten bij de belangrijkste relevante vereisten uit DORA.
  • Breng alle ICT-risico's in kaart.
  • Implementeer alle onder DORA vereiste operationele waarborgen, waaronder detectiemechanismen om afwijkende ICT-activiteiten vroegtijdig te detecteren, zoals kwesties op het gebied van ICT-netwerkprestaties en ICT-gerelateerde incidenten.
  •  

DORA en de verschillende gerelateerde technische regulerings- en uitvoeringsnormen zijn uiterst technische en gelaagde wetgeving; het interpreteren en implementeren van DORA is een hele uitdaging. Wij zijn graag bereid u hierin bij te staan.

Voor meer informatie over DORA kunt u contact opnemen met Berry van Wijk, Thomas de Weerd of Juan Vervuurt.

Written by:

Key Contact

Rotterdam
Advocaat | Partner
Thomas de Weerd

Key Contact

Amsterdam
Advocaat | Partner

Key Contact

Amsterdam
Advocaat | Counsel