ETA'S rapport over ICT-landschap concludeert concentratierisico

Blog

Financiële entiteiten hebben tot 17 januari 2025 de tijd om te voldoen aan de vereisten uit DORA. Ter voorbereiding op de implementatie van DORA hebben de Europese toezichthoudende autoriteiten (‘ETA’s’) – Europese Bankautoriteit (‘EBA’), Europese Autoriteit voor verzekeringen en bedrijfspensioenen (‘EIOPA’) en Europese Autoriteit voor effecten en markten (‘ESMA’) – in samenwerking met de nationale toezichthouders in 2022 een gezamenlijk onderzoek uitgevoerd. Het onderzoek had onder meer als doel het in kaart brengen van het huidige landschap van ICT-diensten die door derde aanbieders van ICT-diensten (‘TPP’s’) aan financiële entiteiten binnen Europa worden geleverd. Een ander doel was het ondersteunen van het beleidsvormingsproces van de ETA’s in het licht van de oproep van de Europese Commissie om advies om de criteria voor kritische TPP’s – ex artikel 31 DORA – verder te specificeren. Op 27 september 2023 hebben de ETA’s een gezamenlijk rapport gepubliceerd met de bevindingen naar aanleiding van het onderzoek. In dit blog zullen de bevindingen van de ETA’s uit het rapport worden belicht.

Het rapport van de ETA’s

Het rapport is gebaseerd op informatie verstrekt door verschillende financiële entiteiten uit de 30 landen van de Europese Economische Ruimte. In het rapport wordt een aantal aspecten van het ICT-landschap van TPP’s in de financiële sector in kaart gebracht. Het rapport beschrijft de verschillende diensten die TPP’s verlenen aan financiële entiteiten en of deze diensten worden gebruikt ter ondersteuning van kritieke of belangrijke functies van financiële entiteiten. Met dit laatste wordt bedoeld of de diensten een functie ondersteunen waarvan de verstoring onder meer wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit of aan de continuïteit van haar diensten, aldus artikel 3 onder 22 DORA.

Uit het rapport blijkt dat ongeveer 15.000 TPP’s rechtstreeks ICT-diensten verlenen aan circa 1.600 financiële entiteiten. Wanneer ook de onderaannemers van de TPP’s worden meegerekend, betreft het ongeveer 20.000 TPP’s. Uit het rapport komt verder naar voren dat ‘software- en applicatiediensten’ het vaakst worden genoemd door de financiële entiteiten als afgenomen ICT-diensten, gevolgd door ‘ICT-consultancy en beheerde ICT-diensten’, ‘cloud computing’ en ‘data-analyse en datadiensten’. Ongeveer 9.000 van de geleverde ICT-diensten kwalificeren als diensten die kritische of belangrijke functies voor financiële entiteiten ondersteunen. Verder blijkt dat de meeste TPP’s slechts een klein aantal financiële entiteiten bedienen. De TPP’s die de meeste ICT-diensten verlenen, verlenen veelal diensten die kritische en belangrijke functies ondersteunen. Van alle TPP’s zouden enkele TPP’s tussen 250 en 500 financiële entiteiten bedienen. Twee TPP’s zouden zelfs tot de meest gebruikte ICT-dienstverleners behoren in alle categorieën ICT-diensten. De ETA’s concluderen dan ook dat sprake is van een concentratierisico.

Concentratierisico

Van een concentratierisico is op grond van artikel 3 onder 23 DORA sprake wanneer bij een financiële entiteit een bepaalde mate van afhankelijkheid ontstaat ten aanzien van een kritieke TPP of meerdere onderling verbonden kritieke TPP’s, waardoor de onbeschikbaarheid, het falen of een andersoortige tekortkoming van deze TPP(‘s) het vermogen van de financiële entiteit (om kritieke of belangrijke functies te vervullen) in gevaar kan brengen. Dit kan ertoe leiden dat de financiële entiteit nadelige (financiële) effecten ondervindt of dat de financiële stabiliteit van de Unie in haar geheel in gevaar komt.

Op basis van de resultaten van het onderzoek concluderen de ETA’s dat sprake is van een concentratierisico. De markt is sterk geconcentreerd, ondanks het grote aantal TPP’s en de aangeboden ICT-diensten. De ICT-diensten die de meeste kritieke en belangrijke functies ondersteunen zijn daarnaast veelal niet te vervangen. Dit zorgt voor behoorlijke afhankelijkheid van de financiële entiteiten van bepaalde TPP’s. Bovendien blijkt uit de resultaten dat een potentieel hoge mate van onderlinge verbondenheid en onderlinge afhankelijkheid bestaat tussen de TPP’s. Een cyberincident of storing bij dergelijke TPP’s kan daardoor het vermogen van financiële entiteiten om kritieke of belangrijke functies te vervullen in gevaar brengen. De onderlinge verbondenheid tussen TPP’s brengt daarnaast mee dat een incident zich makkelijker kan verspreiden naar andere TPP’s met alle mogelijke gevolgen van dien.

Beperken van concentratierisico conform DORA

DORA legt ter beperking van het concentratierisico geen risicoplafonds of strikte beperkingen op. Dit zou namelijk de bedrijfsvoering kunnen belemmeren en de contractsvrijheid kunnen beperken. Om het concentratierisico te beperken, regelen overweging 67 en artikel 29 DORA dat door financiële entiteiten voorafgaand aan het sluiten van een overeenkomst met een TPP grondig moet worden onderzocht of het inschakelen van deze TPP kan leiden tot een eventueel concentratierisico. Een financiële entiteit moet daarbij onder meer nagaan of een overeenkomst met een TPP gemakkelijk vervangbaar is en of zij beschikt over meerdere contractuele regelingen met dezelfde TPP waardoor mogelijk een te grote afhankelijkheid van de TPP ontstaat. Financiële entiteiten dienen daarbij de kosten en baten af te wegen van alternatieve oplossingen, zoals het gebruik van verschillende TPP’s. Ook eventuele overeenkomsten tot onder-uitbesteding dienen onder de loep te worden genomen. De financiële entiteiten dienen in principe dus zelf te beoordelen of sprake is van een concentratierisico. Tegelijkertijd zullen de conform DORA aangewezen toezichthouders – de lead overseers – toezicht moeten houden op kritieke TPP’s. Zij zullen moeten letten op de omvang van onderlinge afhankelijkheden tussen TPP’s. Ook dienen ze gevallen aan het licht te brengen waarin een hoge mate van concentratie van kritieke TPP’s waarschijnlijk de stabiliteit en integriteit van het financiële stelsel van de EU onder druk zullen zetten. Bij het ontdekken van een dergelijk risico zal een toezichthouder in dialoog moeten treden met de betrokken kritieke TPP’s. Of voornoemde beperkingen uit DORA ook daadwerkelijk zullen bijdragen aan een vermindering van het concentratierisico zal nog moeten blijken.