DORA – Digital Operational Resilience Act; kernpunten en impact
Blog
De EU-verordening Digital Operational Resilience Act (‘DORA’) is op 16 januari 2023 in werking getreden. DORA reguleert de operationele weerbaarheid en cyberbeveiliging voor de gehele EU financiële sector en stelt regels ter beheersing van Informatie en Communicatie Technologie (ICT)-risico’s.
Door de bredere ontwikkeling van digitalisering staan bedrijven, overheden en organisaties steeds meer bloot aan cyberrisico’s, zo ook de financiële sector. ICT-beveiliging en digitale weerbaarheid zijn onderdeel van het operationeel risico van financiële ondernemingen. Tot voor kort ontbrak EU-regelgeving die deze onderwerpen sector overstijgend reguleert, wat resulteerde in een gefragmenteerde aanpak die per sector en per lidstaat kon verschillen.
Financiële ondernemingen dienen voor 25 januari 2025 te voldoen aan de verstrekkende vereisten van DORA. Wij bespreken hierna kort de reikwijdte en uitzonderingen, alsmede op hoofdlijnen de kernverplichtingen onder DORA en sluiten af met een conclusie.
Reikwijdte
DORA geldt, onder andere, voor verzekeraars en herverzekeraars, pensioenfondsen, kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van crypto-activa, beheerders van beleggingsfondsen en verzekeringstussenpersonen (‘financiële entiteiten’). Onder specifieke omstandigheden geldt DORA ook voor derden die kritieke ICT-diensten leveren aan financiële entiteiten, zoals cloud service providers.
Verzekeringsbemiddelaars herverzekeringsbemiddelaars die kwalificeren als zogenoemde micro-ondernemingen, kleine ondernemingen of middelgrote ondernemingen vallen buiten de reikwijdte van DORA. Kort gezegd zijn dit alle dergelijke bemiddelaars met minder dan 250 werknemers, een jaaromzet kleiner dan € 50 miljoen en/of een balanstotaal kleiner dan € 43 miljoen.
Daarnaast vallen nationale vergunninghouders zoals aanbieders van consumentenkrediet ook niet onder de reikwijdte. Voor specifieke groepen financiële ondernemingen, zoals micro-ondernemingen, geldt een verlicht regime. Voor bepaalde categorieën, zoals significante banken, dat wil zeggen banken die onder rechtstreeks toezicht staan van de Europese Centrale Bank, kunnen aanvullende vereisten gelden.
Kernverplichtingen
DORA stelt verplichtingen met betrekking tot zes hoofdpijlers die hieronder worden besproken. Deze vereisten gelden deels risico gebaseerd. DORA biedt ruimte voor proportionaliteit op basis van omvang en risicoprofiel van een financiële entiteit, alsmede de omvang en complexiteit van haar diensten en activiteiten.
Specifieke aandacht gaat daarbij uit naar bescherming van de zogenoemde ‘kritische of belangrijke functies’, dit zijn kort gezegd functies waarvan de verstoring materiële impact zou hebben op de financiële prestaties, soliditeit of continuïteit van een financiële entiteit, of zou kunnen resulteren in niet-naleving van vergunningsvoorwaarden of toepasselijk recht. Denk bijvoorbeeld aan een storing van transactiemonitoringssoftware, onbeschikbaarheid van een clientdatabase of ontoegankelijkheid van software voor betalingen.
Eisen inzake ICT-risicobeheer
Financiële entiteiten moeten onder andere beschikken over een robuust ICT-risicobeheersysteem, inclusief een ICT-bedrijfscontinuïteitsplan en een ICT-rampherstelprocedure. Dit om bestand te zijn tegen snel evoluerende cyberdreigingen en om te waarborgen dat de bedrijfsstrategie en de uitvoering van ICT-risicobeheer op elkaar worden afgestemd. Daarnaast dienen instellingen te beschikken over een digitale operationele weerbaarheidsstrategie, inclusief vastlegging van hun risicotolerantie voor ICT-risico’s. Voorts vereist DORA interne en externe crisiscommunicatieplannen alsmede het aanwijzen van een communicatieverantwoordelijke voor communicatie naar stakeholders ingeval van majeure ICT-incidenten.
Governance/rol van het bestuur
Financiële entiteiten dienen te beschikken over een intern governance- en controlekader dat een doeltreffend en prudent beheer van het ICT-risico waarborgt. Het bestuur van de financiële entiteit is expliciet eindverantwoordelijk voor het beheer van haar ICT-risico’s en dient structureel betrokken te zijn bij controle van effectiviteit het ICT-risicobeheer. Ook dient het bestuur te beschikken over noodzakelijke kennis en vaardigheden om ICT-risico’s te kunnen behoordelen.
Voorts dient het bestuur te waarborgen dat er beleid is dat strekt tot een hoog niveau van beschikbaarheid, integriteit, authenticiteit en vertrouwelijkheid van data. Dit beleid dient helder rollen en verantwoordelijkheden uiteen te zetten van ICT-gerelateerde functies, en dient waarborgen te bevatten ten aanzien van governance, tijdige communicatie en samenwerking. Voorts stelt het bestuur het interne ICT-audit plan en het periodieke budget vast voor operationele weerbaarheid en beoordeelt het deze periodiek. Tenslotte waarborgt het bestuur adequate rapportagekanalen zodat het goed geïnformeerd is over zaken zoals, IT-uitbestedingsarrangementen, materiele wijzigingen in IT-serviceproviders alsmede de gevolgen daarvan voor de kritische of belangrijke functies.
Beheer, classificatie en rapportage van ICT-gerelateerde incidenten
Financiële entiteiten moeten een ICT-incidentmanagementproces implementeren dat vroegtijdig waarschuwingssignalen kan genereren. Dit laatste om ICT-gerelateerde incidenten tijdig op te sporen, te beheren en te melden, waaronder melding aan het bestuur ingeval van majeure ICT-incidenten. Hiervoor is ook een consistent incidentenrapportagemechanisme vereist.
Financiële entiteiten dienen ICT-incidenten te classificeren aan de hand van vastgestelde objectieve criteria, waaronder het aantal benadeelde klanten of tegenpartijen, het aantal betrokken transacties, de duur van het incident, omvang van dataverlies en de economische impact. Rapportage van majeure ICT-incidenten geschiedt aan de relevante toezichthouder op grond van (nog te ontwikkelen) gestandaardiseerde templates. Instellingen mogen significante cyber bedreigingen ook vrijwillig melden aan die toezichthouder. Ook dienen cliënten onmiddellijk te worden geïnformeerd indien hun financiële belangen worden geschaad.
Testen van de digitale operationele weerbaarheid
Financiële entiteiten moeten beschikken over een uitgebreid testprogramma voor digitale operationele weerbaarheid. Hierbij dient specifiek te worden gefocust op de kritische en belangrijke functies. Dit programma moet in verhouding staan tot de omvang, de activiteiten en het risicoprofiel van de instelling. Deze tests dienen te worden verricht door een onafhankelijke interne of externe partij die beschikt over toereikende bevoegdheden, tooling en budgetten. Systemen die zien op kritische of belangrijke functies dienen jaarlijks te worden getest.
Voorts moeten significante financiële entiteiten hun ICT-instrumenten, -systemen en -processen ten minste om de drie jaar laten testen door middel van geavanceerde penetratietests.
Feedback en verbeterpunten die aan het licht komen bij dergelijke tests, dienen te worden toegepast in het ICT-risicobeoordelingsproces en het ICT-risicobeheersingsraamwerk. Een samenvatting van de bevindingen en het herstelplan dient te worden gedeeld met de relevante toezichthouder.
Beheer van ICT-risico’s van derden
Financiële entiteiten moeten ICT-risico’s van derden beheren als integraal onderdeel van het ICT-risico binnen hun ICT-risicobeheerkader. Dit houdt onder meer in dat de contracten die de relatie regelen bepaalde minimumbepalingen moeten bevatten, zoals: aanduiding van de locaties waar gegevens worden verwerkt en een beschrijving van de diensten en garanties voor toegang en herstel in geval van storingen. Hierbij dient wederom specifieke aandacht te worden besteed aan de kritieke en belangrijke functies. Deze contractuele vereisten sluiten nauw aan bij de bestaande guidance van EU-toezichthouders op het gebied van uitbesteding zoals de EBA-richtsnoeren voor uitbestedingsovereenkomsten, maar bevatten ook enkele specifieke aanvullingen daarop. Externe ICT-dienstverleners moeten aan minimumeisen voldoen en aanvullende eisen naleven wanneer zij bepaalde uitbestedingsdiensten verlenen.
Regelingen voor het delen van informatie
DORA bevat tenslotte bepalingen die het voor financiële entiteiten makkelijker maakt om informatie en inlichtingen te delen over cyberdreigingen, waaronder tactieken, technieken, procedures en cyberbeveiligingswaarschuwingen. Hierdoor vergroot de digitale operationele weerbaarheid van de hele sector. Alle vrijwillige regelingen voor informatie-uitwisseling tussen financiële entiteiten die door de DORA worden bevorderd, dienen te worden uitgevoerd in beveiligde omgevingen, met volledige inachtneming van de EU-gegevensbeschermingsregels, zoals de Algemene Verordening Gegevensbescherming (‘AVG’).
Next steps/conclusie
DORA heeft als Europese verordening directe werking in de Nederlandse rechtsorde. Op een tiental verschillende onderdelen zal de Europese Commissie nog zogenoemde regulatory technical standards vaststellen die meer gedetailleerde vereisten zullen bevatten die financiële entiteiten dienen toe te passen. Deze worden in concept opgesteld door de Europese toezichthouders, dienen uiterlijk op 17 januari 2024 in concept gereed te zijn en treden dus nog later in werking.
Gezien de impact, benodigde expertise en middelen, dienen financiële ondernemingen nu al in kaart te brengen in hoeverre zij kunnen voldoen aan de vereisten van DORA. Daarnaast ontkomen zij, gezien de krappe tijdslijnen, niet eraan om al met implementatie te beginnen voordat de detailregelgeving definitief is. Gezien de doorgaans drukke IT-agenda van veel financiële ondernemingen kan dit een flinke uitdagingen opleveren. DORA is echter niet een IT-probleem, maar een uitdaging voor de gehele organisatie en zeker voor het bestuur.