DORA: recente ontwikkelingen

Blog

Europese ontwikkelingen

Eén kernverplichting onder DORA bestaat uit het aanleggen, vullen en bijhouden van informatieregisters, waarin per onderneming informatie wordt opgenomen over de contractuele afspraken die zien op het gebruik van ICT-diensten geleverd door derde-aanbieders van ICT-diensten (de ‘informatieregisters’).¹ De Europese Toezichthoudende Autoriteiten (de ‘ETA's’) publiceerden op 8 november 2024 een besluit (ESA 2024 22) (‘het ETA’s-Besluit’) dat bepaalt dat de nationale toezichthouders deze informatieregisters uiterlijk op 30 april 2025 bij hen moeten aanleveren.² Indiening door nationale toezichthouders moet plaatsvinden bij de Europese Bankenautoriteit via het EUCLID-gegevenssysteem (‘European Centralised Infrastructure of Data’). Belangrijker nog is dat dit besluit, in elk geval wat betreft de genoemde tijdslijn, geen ruimte laat voor nationale afwijkingen of voor een risico-gebaseerde benadering met betrekking tot het verzamelen van informatieregisters door nationale toezichthouders.

Daarnaast is op 2 december 2024 de Uitvoeringsverordening gepubliceerd die de technische uitvoeringsnormen bevat bij DORA, die zien op standaardmodellen voor deze informatieregisters.³ En op 4 december publiceerden de ETA’s een gezamenlijk standpunt (JC 2024 99) waarin zij erop aandringen dat financiële ondernemingen moeten blijven werken aan het voltooien van hun informatieregisters.⁴ Met name waar dit informatie vergt, die niet direct beschikbaar is. Daarbij wijzen zij erop dat de beschikbare handvatten – opgenomen in de Uitvoeringsverordening – niet nieuw zijn. Deze waren in concept reeds beschikbaar. Ook benadrukken de ETA’s dat financiële ondernemingen op 17 januari in staat moeten zijn om ICT-incidenten te classificeren en om ‘ernstige ICT-gerelateerde incidenten’ te rapporteren aan de bevoegde toezichthouders. Ook benadrukken zij dat DORA geen overgangstermijnen kent.

DNB en AFM

Elke financiële onderneming, die valt binnen de reikwijdte van DORA, moet ervoor zorgen dat haar informatieregister vanaf 17 januari 2025 beschikbaar is. Tijdens in 2024 gehouden bijeenkomsten met de sector gaven AFM en DNB, de Nederlandse bevoegde toezichthouders voor DORA, aanvankelijk aan dat zij kort na deze datum op ‘risico-gebaseerde’ basis zouden beginnen met het verzamelen van de informatieregisters. Kort gezegd zouden zij hun verzoeken richten aan de ondernemingen onder hun toezicht die vanuit materieel of prudentieel (risico-)oogpunt het relevantst zijn.

In het licht van het recente ETA’s besluit en het gezamenlijke ETA’s standpunt heeft de AFM op 6 december 2024 officieel aangekondigd dat zij in februari 2025 alle onder haar toezicht – en onder DORA vallende ondernemingen – formeel zal verzoeken om hun informatieregisters in te dienen.⁵ In een publicatie van 20 december wees de AFM vervolgens nog expliciet op toepasselijkheid van DORA op zogenoemde handelaren voor eigen rekening, een subcategorie beleggingsondernemingen die onder AFM-toezicht valt. Recentelijk onderzocht de AFM de status van DORA-implementatie in deze subcategorie en constateerde substantiële verbeterpunten. Ook voor andere partijen kunnen deze bevindingen en de aanbevelingen uit dit AFM-rapport relevant zijn.⁶

Voor alle duidelijkheid, niet alle partijen onder AFM-toezicht, vallen onder de reikwijdte van DORA. Zo vallen verzekerings- en herverzekeringsbemiddelaars die kwalificeren als micro, kleine of middelgrote ondernemingen in de zin van DORA buiten de reikwijdte. Dit komt erop neer dat dergelijke bemiddelaars met minder dan 250 medewerkers en een jaaromzet van minder dan € 50 miljoen en/of een balanstotaal van minder dan € 43 miljoen, vallen buiten de reikwijdte van DORA.⁷ Een interessante vraag is hoe deze omvangscriteria moeten worden toegepast in groepen van verzekeringsbemiddelaars. Hoewel de ETA’s deze vraag hebben voorgelegd aan de Europese Commissie, en deze vraag nog niet is beantwoord, is onze voorlopige conclusie dat deze materialiteitscriteria gelden per individuele rechtspersoon. Ook bij in groepsverband opererende verzekeringsbemiddelaars. Bij dergelijke groepen, kan sprake zijn van factoren die de beantwoording van deze vraag kunnen compliceren. Bijvoorbeeld indien de houdstermaatschappij in een dergelijke groep slechts minderheidsdeelnemingen houdt in verzekeringsbemiddelaars, of gevolmachtigde agenten die deel uitmaken van die groep, of indien verzekeringsbemiddelaars niet acteren onder eigen vergunningen, maar onder een collectieve vergunning of optreden als verbonden bemiddelaar.

Op 20 december publiceerde DNB op haar website een update waarin DORA-actualiteiten werden besproken en DNB een vooruitblik gaf op DORA-toezicht.⁸ DNB herhaalde daarin dat per 17 januari 2025 de DNB ‘Good Practice Informatiebeveiliging’ vervalt voor partijen die onder DNB-toezicht vallen en voor wie DORA geldt, waaronder verzekeraars. Ook kondigde DNB aan dat in het eerste kwartaal van 2025 wordt gestart met het aanwijzen van ondernemingen die zogenoemde Treath Lead Penetration Tests (‘TLPT’) dienen uit te voeren. DNB zal hierbij rekening houden met reeds binnen het TIBER (Treath Intelligence Based Ethical Red-teaming) raamwerk uitgevoerde penetration tests. Dit laatste is een bestaande systematiek voor het uitvoeren van gecontroleerde ethische cyberaanvallen op kritische financiële infrastructuren, waaronder bepaalde financiële ondernemingen. Ook wees DNB, evenals de ETA’s, op de meldplicht bij DNB voor ernstige ICT-gerelateerde incidenten.

Hoewel DNB in haar publicatie aangeeft dat zij de informatieregisters in de eerste helft van 2025 zal opvragen, moet DNB, om te kunnen voldoen aan de hiervoor genoemde tijdslijnen van de ETA’s, uiterlijk op 30 april 2025 de verzamelde (en geverifieerde) informatieregisters kunnen indienen bij de ETA’s. Deze DNB-publicatie biedt in elk geval geen handvatten die duiden op een risico-gebaseerde of gefaseerde aanpak door DNB. Alle ondernemingen die onder toezicht staan van DNB en onder de reikwijdte van DORA vallen, moeten er rekening mee houden dat zij hun informatieregisters naar verwachting al in maart 2025 bij DNB moeten indienen.

Handvatten voor informatieregisters

De richtsnoeren, die financiële ondernemingen nodig hebben om informatieregisters op te stellen, zijn opgenomen in de Uitvoeringsverordening. De Europese Commissie heeft deze definitieve uitvoeringsverordening op 2 december 2024 gepubliceerd. Dit document is op 22 december 2024 in werking getreden, de twintigste dag na publicatie in het Officiële Journaal van de EU. De ETA’s hebben erop gewezen dat de vereisten voor de informatieregisters die zijn opgenomen in de Uitvoeringsverordening al sinds de publicatie van het eindverslag van de ETA’s, in januari 2024, in concept beschikbaar waren en er geen wezenlijke afwijkingen tussen die conceptversie en de finale versie te verwachten zijn.

De ETA’s moedigen financiële ondernemingen aan om zoveel mogelijk te anticiperen op het opstellen van hun informatieregisters, met name voor informatie die niet onmiddellijk beschikbaar is. Zoals informatie die moet worden opgevraagd bij ICT-dienstverleners. Ter ondersteuning van financiële ondernemingen wijzen de ETA’s naar de beschikbare materialen en templates die eerder met de sector zijn gedeeld als onderdeel van de vrijwillige ‘Dry Run’ informatieregisters van mei 2024. De ETA’s stellen ook digitale handvatten voor validatie beschikbaar. Nationale toezichthouders en financiële ondernemingen kunnen deze validatieregels gebruiken om de kwaliteit van concept-informatieregisters te controleren.⁹ Ook DNB benadrukt in haar recente publicatie dat financiële entiteiten de nodige middelen dienen in te zetten om te zorgen dat zij tijdig zijn voorbereid op DORA.

Kortom, de recente golf aan publicaties van EU- en nationale toezichthouders is op hoofdlijn consistent en de boodschap helder. Partijen die vallen binnen de reikwijdte van DORA beschikken over alle handvatten om daaraan invulling te geven en dienen waar nodig tempo te maken bij de implementatie. Op korte termijn dienen zij in elk geval te focussen op het beschikbaar maken van informatieregisters en op snelle oplevering van informatieregisters te anticiperen. Daarnaast dienen zij hun rapportagelijnen en classificatiesystematiek voor ICT-incidenten gereed te hebben.

Noten

¹ Art. 28 lid 3 DORA bevat deze verplichting.

² https://www.esma.europa.eu/sites/default/files/2024-11/ESA_2024_22_Decision_on_reporting_of_information_for_CTPP_designation.pdf (ESA 2024 22)

³ https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R2956.

⁴ https://www.eba.europa.eu/sites/default/files/2024-12/0133f341-fcf5-48d1-812b-d0a66e2b3e8c/JC%202024%2099_ESAs%20Public%20Statement%20on%20DORA%20application%20%281%29.pdf.

⁵ https://www.afm.nl/nl-nl/sector/actueel/2024/december/sb-dora-informatieregister.

⁶ https://www.afm.nl/nl-nl/sector/actueel/2024/december/sb-verkenning-dora-her.

⁷ Art. 2 lid 3 sub (e) DORA en art. 3 onder (60), (63) en (64) DORA.

⁸ https://www.dnb.nl/nieuws-voor-de-sector/toezicht-2024/dora-het-toezicht-van-dnb-per-17-januari-2025/.

⁹ De genoemde hulpbronnen kunnen worden geraadpleegd op de website van de EBA: https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act/preparation-dora-application.