RTS en ITS in een oogopslag
De eerste batch bestond uit drie RTS en één ITS. De meeste normen in de lagere regelgeving behoren tot de zogeheten technische reguleringsnormen. In de verordening worden deze als volgt beschreven:
(99) Technische reguleringsnormen moeten een consistente harmonisatie van de in deze verordening neergelegde voorschriften bewerkstelligen. In hun rol van organen met hooggespecialiseerde expertise moeten de ETA’s ontwerpen van technische reguleringsnormen ontwikkelen die geen beleidskeuzen inhouden en die aan de Commissie moeten worden voorgelegd. Er moeten technische reguleringsnormen worden ontwikkeld op het gebied van ICT-risicobeheer, rapportage van ernstige ICT-incidenten, tests, en op het gebied van essentiële vereisten voor een degelijke monitoring van het ICT-risico van derde dienstverleners. De Commissie en de ETA’s dienen ervoor te zorgen dat deze normen en vereisten door alle financiële entiteiten kunnen worden toegepast op een wijze die in verhouding staat tot hun omvang en algehele risicoprofiel, alsook de aard, de omvang en de complexiteit van de entiteiten en hun activiteiten[1].
De bijbehorende ITS oftewel technische uitvoeringsnormen bevatten kaders en standaardvormen voor de toepassing van de voorschriften uitgestippeld in de verordening en de RTS. In de ITS in batch 1 wordt bijvoorbeeld in detail beschreven wat in het informatieregister voor uitbestedingspartijen moet staan, bedoeld in Artikel 28 derde lid van de verordening. Uit het bovenstaande artikel is op te maken dat, waar de inhoud van de verordening de rode lijn van de wet vormt, de aanvullende normen zijn bedoeld als marge aan weerszijden van deze lijn. De Europese Toezicht Autoriteiten (ETA’s) hebben aan de hand van de verordening en hun expertise proportionaliteit en consistentie aangebracht in de vertaling van de wettelijke voorschriften van de verordening naar een evenwichtig kader voor regulering en toepassing.
DORA in 2024
In het afgelopen jaar hebben organisaties door heel Europa hun governance rondom ICT-risicobeheer en de implementatie van DORA vast moeten leggen. In veel gevallen zullen de bestaande en voorgaande wetten en regels nog eens goed onder de aandacht zijn gebracht voor een waterdichte naleving, ter voorbereiding op de komende wetgeving. De implementatieperiode is nu bijna ten einde, wellicht is alles al rond en getekend voor de feestdagen, of misschien ligt er nog een nieuwjaars-eindsprint in het verschiet. Hoe dan ook zal vanaf 17 januari de verordening in zijn geheel geïmplementeerd moeten zijn en nageleefd moeten worden.
DORA in 5 pijlers
De wettekst omvat 47.093 woorden opgedeeld in 9 hoofdstukken. In deze hoofstukken zijn vijf inhoudelijke pijlers te onderscheiden om de digitale operationele weerbaarheid van financiële entiteiten te verbeteren. Hieronder volgt een globale inhoudelijke beschrijving van de verordening:
- ICT-risicobeheer
- Beheer, classificatie en rapportage van ICT-gerelateerde incidenten
- Testen van digitale operationele weerbaarheid
- Beheer van ICT-risico van derde aanbieders
- Regelingen voor de uitwisseling van informatie
De eerste twee pijlers zien toe op het versterken en uitbreiden van bestaand beleid. ICT-risicomanagement en incidentenmanagement zijn niet nieuw, maar DORA voegt nieuwe normen toe die geïmplementeerd moeten worden in het bestaande beleid van financiële organisaties. Deze omvatten onder andere voorschriften voor de governance en organisatie (Art. 5), scholing en ontwikkeling (Art. 13) en communicatie (Art. 14) in het kader van ICT-risico. In het kader van incidentenmanagement worden er onder andere criteria gesteld voor de classificatie van ICT-gerelateerde incidenten (Art. 18) en wordt het verplicht om te rapporteren over ernstige ICT-gerelateerde incidenten. Ook kan er op vrijwillige basis melding gemaakt worden van significante cyberdreigingen (Art. 19).
De derde pijler is specifiek gericht op het testen van weerbaarheid tegen cyberaanvallen. De beste manier om de weerbaarheid van een ICT-systeem te verifiëren is door het zelf aan te vallen, zoals een hacker dat zou doen. DORA bevat vereisten voor het testen van de weerbaarheid van ICT-systemen, en voor bepaalde significante instellingen[2] is het verplicht eens in de drie jaar een ethische cyberaanval uit te voeren op hun eigen systeem[3].
In de vierde pijler zijn nieuwe vereisten gegeven aan het risicomanagement bij ICT-uitbestedingen. Voor veel financiële entiteiten wordt een groot deel van de ICT-diensten uitbesteed aan derde partijen, die (als er sprake is van een uitbestedingsketen) een deel van deze ICT-diensten op hun beurt wederom uitbesteden. Zo wil het ook nog wel eens voorkomen dat via een (onder)uitbesteding data in een land buiten de EU terecht komt, wat betekent dat de impact van een datalek complexer kan zijn. Kortom, uitbestedingen compliceren toezicht en monitoring, en zijn een extra risico voor de weerbaarheid. Een keten is immers maar zo sterk als de zwakste schakel. (Arbeidsvoorwaardelijke) Financiële instellingen zoals pensioenfondsen zullen moeten zorgen dat de contractuele overeenkomsten (en bijbehorende Service Level Agreements) met hun uitbestedingspartijen specifiek beschrijven hoe en langs welke uitgangspunten, indicatoren en normen het beheer van informatiebeveiliging en de rapportage hierover is ingericht. Daarnaast bevat de vierde pijler een oversightkader voor kritieke derde aanbieders van ICT-diensten. Dit zijn grote organisaties die vanwege hun omvang worden aangemerkt als van systematisch belang voor de stabiliteit van de financiële sector. Deze partijen worden onderworpen aan strikte toezichtseisen.
De vijfde pijler is gericht op het onderling delen van informatie over ICT-incidenten en cyberdreigingen tussen financiële instellingen en hun uitbestedingspartijen. Dit gebeurt in zogenaamde vertrouwensgemeenschappen. De praktische invulling hiervan moet nog worden vormgegeven.
Samenvattend
Vanuit deze vijf pijlers en de verordening is het duidelijk dat beginnend in 2025 iedere organisatie een voorname plaats voor IT zal moeten maken aan de bestuurstafel. Dit kan een bestuurder zijn, een professional op het bestuursbureau en natuurlijk ook een onafhankelijke expert.
Het is een belangrijke vraag welke kansen de DORA-implementatie een pensioenfonds en haar bestuurders kan bieden. Het is altijd belangrijk om verder te kijken dan de compliance vanuit een wetgevingsperspectief. Het gaat om beheerste en integere bedrijfsvoering en het beschermen van het vermogen van de deelnemers (pur sang), en om de reputatie van de sector als geheel.
DORA is de stap naar verdere volwassenheid van beheerste en integere bedrijfsvoering voor het IT-domein, het maakt onderdeel uit van een bredere digitaliseringsagenda van de EU. Het eist van financiële instellingen een gedegen visie (1), borgen van hun licence to operate door compliant te geraken (2) en het aansterken van de ketenaanpak door een brede monitoring en borging van IT-risico’s (3). Deze drie zaken hebben van de aandacht van bestuurders het afgelopen jaar opgeëist in een drukke periode, met verschillende wetswijzigingen die parallel liepen aan de implementatieperiode zoals de EU-AI act en de Wtp voor de pensioensector. Als binnenkort alles op naleving goed is bevonden wordt het tijd om verder te kijken naar de kansen die de nieuwe kaders ons bieden.
Ter inspiratie voor uw laatste controle voegen wij een DORA productenlijst toe aan dit artikel.
Verwijzingen
[1] VERORDENING (EU) 2022/2554 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 p.21 (nadruk niet in origineel)
[2] Deze vereisten gelden niet voor kleine en niet-verweven beleggingsondernemingen, kleine instellingen voor bedrijfspensioenvoorziening, micro-ondernemingen en instellingen die door bepaalde richtlijnen uit de EU zijn vrijgesteld (zie DORA Art. 16 eerste lid en Art. 26 eerste lid).
[3] Ethical hacking of het uitvoeren van TLPT is gebonden aan een certificatie of de onderschrijving van formele gedragscodes of ethische kaders. Zie voor de volledige vereisten Art. 27 eerste lid van DORA.
Bron: (foto) Pexels
Download bijlagen
Je moet lid zijn van Riskworld om bijlagen te downloaden. Word gratis lid of log in.