Blog
Er komt nog altijd veel nieuwe wet- en regelgeving op de sector af. DORA is de nieuwe loot aan de stam. Een zeer uitgebreid en gedetailleerd raamwerk ten aanzien van ICT-risicobeheer dat de markt met enige angst en beven tegemoet kan zien komen. Het is tijd voor een pleidooi voor proportionaliteit.
Ook voor dit jaar maakten wij weer de Finnius Vooruitblik met daarin een overzicht van alle toezichtontwikkelingen in 2023. Nieuwe loot aan de stam is DORA, kort voor: Digital Operational Resilience Act. Een verordening die, heel kort gezegd, gaat over ICT-risicobeheer (voor een uitgebreid overzicht, zie VAST 2023 / P-007). DORA verscheen op 27 december 2022 in het Publicatieblad van de EU en heeft met ingang van 17 januari 2025 rechtstreekse werking binnen de EU. De afgelopen weken verdiepte ik me alvast in DORA. Ik viel van de ene in de andere verbazing. De mate van diepgang en detail, in combinatie met een abstract definitie-apparaat, maken DORA een wetgevingspakket om met enige angst te verwelkomen.
Ter illustratie: financiële instellingen moeten op grond van DORA beschikken over een kader voor ICT-risicobeheer. Artikel 6 lid 2 DORA vereist dat dit kader ten minste moet omvatten (letterlijk overgenomen): ‘strategieën, beleidslijnen, procedures, ICT-protocollen en instrumenten die nodig zijn om alle informatie- en ICT-activa, met inbegrip van computersoftware, hardware, servers naar behoren en toereikend te beschermen, en om alle relevante fysieke elementen en infrastructuur, zoals gebouwen en terreinen, datacentra en als gevoelig aangewezen gebieden te beschermen, teneinde te waarborgen dat alle informatie- en ICT-activa toereikend worden beschermd tegen risico’s, waaronder schade, ongeoorloofde toegang en ongeoorloofd gebruik.’ En dit is nog maar één van vele verplichtingen op het gebied van ICT-risicobeheer. Zo’n beetje alles wat je over dit onderwerp zou kunnen verzinnen, wordt door DORA uitgewerkt en voorgeschreven. Voor verzekeraars die binnen het bereik van Solvency II vallen (‘richtlijnverzekeraars’), zal een deel bekend voorkomen gelet op de EIOPA Richtsnoeren betreffende beveiliging en governance van informatie- en communicatietechnologie.
DORA is echter niet het enige recente wetgevingspakket dat één specifiek onderwerp zo gedetailleerd uitwerkt. Ik zie diezelfde mate van detail namelijk bijvoorbeeld ook bij nieuwe EBA Richtsnoeren ten aanzien van de Compliance Officer en Remote Customer Onboarding, en net zo goed bij de lagere regelgeving ten aanzien van de Sustainable Finance Disclosure Regulation (‘SFDR’) en Taxonomie Verordening. Ook EIOPA kan er natuurlijk wat van: denk maar aan de Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten en de Richtsnoeren voor het governancesysteem. Het is nog maar een greep uit toepasselijke wet- en regelgeving vanuit Europa. Ik geef het je als financiële onderneming te doen. Groot of klein: het is hoe dan ook een uitdaging om alles bij te houden en zorgvuldig te implementeren.
Ik bespeur zo langzamerhand ook de nodige metaalmoeheid bij marktpartijen. Natuurlijk is er de wens en instelling om alle nieuwe en bestaande wet- en regelgeving te implementeren en na te leven. Tegelijkertijd is het zo veel, in een wereld die toch al bomvol staat van crises, dat het bijna ondoenlijk wordt om alles wat aandacht vraagt, ook de vereiste aandacht te geven. Als we niet oppassen is een volgende stap dan al gauw om een risico-inschatting te maken: aan welk implementatietraject geef ik voorrang? Met dus ook de impliciete acceptatie dat andere trajecten die voorrang niet krijgen… Ik vind dat een onwenselijke ontwikkeling en sta kennelijk ook niet alleen in deze verzuchting, gezien een recente Opinie van Laura van Geest, bestuursvoorzitter van de AFM, in Het Financieele Dagblad.
Alsof deze smeekbede gehoord is door de wijze dames en heren in Brussel, biedt DORA ineens een interessante ontwikkeling. Artikel 4 DORA voorziet namelijk in een nadrukkelijke verankering van het proportionaliteitsbeginsel (in DORA: evenredigheidsbeginsel). De vereisten uit DORA moeten door financiële instellingen worden toegepast, ‘rekening houdend met hun omvang, algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen’. Het zijn elementen die we vaak terugzien waar, veelal ten aanzien van specifieke bepalingen in toezichtwetgeving en dus niet een hele verordening, een beroep op het proportionaliteitsbeginsel is toegestaan. Dat dit principe nu in feite voor heel DORA geldt stemt hoopvol.
Het blijft echter een onzeker spel. Hoe moet je deze elementen uitleggen en concreet toepassen in de praktijk? Wanneer kom je er materieel voor in aanmerking en hoe moet de procedure er formeel uitzien? Hoe weet je nu of een toezichthouder, als op enig moment een thema-onderzoek wordt verricht, dat beroep op proportionaliteit kan volgen, en dus niet handhavend zal optreden ten aanzien van non-compliance met verplichtingen die je op grond van proportionaliteit op een minder stringente wijze naleeft? Er blijft in die gevallen namelijk weinig verdediging over voor de marktpartij: hij heeft nota bene zelf aangegeven dat bepaalde verplichtingen minder stringent worden nageleefd.
DNB publiceerde in 2018 al een rapport over proportioneel en effectief toezicht, met name gericht op prudentiële toezichtregels. Een lezenswaardig document, maar DNB geeft, mede gezien de focus op prudentiële regels, geen concrete handvatten hoe marktpartijen hier in individuele gevallen invulling aan kunnen geven. Voor zover mij bekend is er, een enkele uitzondering daargelaten, vanuit de AFM nauwelijks guidance beschikbaar ten aanzien van het proportionaliteitsbeginsel. Die onzekerheid leidt er in de praktijk vaak toe dat marktpartijen dan toch maar een ‘better safe than sorry’ aanpak kiezen. Dat is zonde in gevallen waar de wet een proportionele toepassing wel toestaat. De toezichthouder is er ook niet bij gebaat als marktpartijen matig invulling geven aan heel veel regels in plaats van heel goed invulling geven aan minder, maar wel bij het profiel passende regels.
Laten we dan dus, ten aanzien van DORA maar ook in bredere zin, ook écht gebruikmaken van het beginsel van proportionaliteit. Ik snap dat het lastig is dit concreet te maken, maar de toezichthouders zouden toch wel guidance kunnen geven naar welke criteria ze kijken, wat voor procedures instellingen moeten doorlopen, hoe vaak ze dit beroep moeten herzien, etc. De markt verdient het en het zou zeer welkom zijn, ook om de moed erin te houden.
