Het is vandaag 17 januari 2025 en het feest kan beginnen: vandaag wordt volledige compliance vereist van DORA, The Digital Operational Resilience Act. De uitnodiging voor dit feestje is precies twee jaar geleden gestuurd, toen de DORA in werking trad. Sindsdien zijn alle slingers opgehangen in de vorm van Regulatory Technical Standards (RTS) en hebben de toezichthouders aangegeven welk stuk van de taart als eerste wordt aangesneden: de informatieregisters. In deze blog zal ik in vogelvlucht de belangrijkste zaken doornemen, zodat je goed voorbereid op het DORA-feest kan verschijnen.
De uitnodiging
Wie er allemaal onder de reikwijdte van de DORA valt is de afgelopen maanden uitvoerig besproken. Het hele idee van de verordening is om financiële entiteiten digitaal weerbaarder te maken. Wat er allemaal onder een financiële entiteit valt, is uiteengezet in artikel 2 lid 1 sub a t/m t van de DORA. Denk aan organisaties zoals banken, handelsplatformen en pensioenfondsen.
De laatste categorie die rekening moet houden met de DORA is te vinden in sub u van hetzelfde artikel; derde aanbieders van ICT-diensten. Een aanbieder van ICT-diensten is gedefinieerd in artikel 3 lid 21 DORA:
“Digitale en gegevensdiensten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden verleend, waaronder hardware als dienst en hardwarediensten, met inbegrip van het verlenen van technische ondersteuning via software- of firmware-updates door de hardwareaanbieder, met uitzondering van traditionele analoge telefoondiensten.”
Door de overwegingen van de DORA heen laat de Europese wetgever blijken dat bijna alle IT-leveranciers voor financiële entiteiten onder deze definitie kunnen vallen. De European Banking Authority (EBA) maakt in haar Implementing Technical Standard (ITS) over het register van informatie nog een goed onderscheid in IT-leveranciers, die zou kunnen helpen om vast te stellen wat voor ICT-dienst de leverancier dan precies levert. Om nog steeds in de feestelijke metafoor te blijven: (bijna) iedereen is uitgenodigd.
De slingers
De slingers die de DORA versieren zijn al begin januari 2024 opgehangen, toen de eerste set RTS- en ITS-en door de Europese toezichthouders (ESA’s) werden voorgelegd aan de Europese Commissie (EC); de afkortingen vliegen ons om de oren. Het gaat om reguleringsnormen die moeten zorgen voor een correcte implementatie van beleidslijnen, procedures en protocollen. Hiervan zijn een hele rits al gepubliceerd en aangenomen door de EC, maar nog niet allemaal. De ESA’s hebben op 17 en 26 juli 2024 de tweede en laatste set normen aan de EC voorgelegd en die moeten – op het moment van schrijven - nog steeds worden goedgekeurd. Hieronder vallen ook de RTS over onderaanneming (subcontracting) en het melden van ernstige ICT-gerelateerde incidenten. Het kan dus best zijn dat na vandaag er nog een verandering plaatsvindt in de regelgeving waarmee rekening gehouden moet worden bij het opstellen van ‘DORA-proof’ contracten.
De taart
In de inleiding gaf ik al aan dat de toezichthouders (de Autoriteit Financiële Markten en De Nederlandsche Bank) als eerste aan de slag gaan met het informatieregister, die volgt uit artikel 28 lid 3 DORA. Nationale toezichthouders moeten in april 2025 deze op hun beurt indienen bij de Europese toezichthoudende autoriteiten (overweging 7 DORA). Het is dus een redelijk korte periode waarin de informatieregisters moeten worden aangeleverd. De Nederlandsche Bank heeft ons in augustus 2024 op de eerder gelinkte ITS gewezen in de hoop dat iedereen er voortvarend mee aan de slag ging. Dit standaardmodel is wel een draak van een document waar menig jurist, compliance officer en CCCO® zich doorheen heeft geworsteld. Financiële entiteiten zullen ieder hun eigen model hanteren die hoogstwaarschijnlijk van het standaardmodel is afgeleid. Iedere aanbieder van ICT-diensten heeft hoogstwaarschijnlijk al een (aantal) e-mails ontvangen met het verzoek de modellen in te vullen.
De contracten
We zijn nu wel officieel uit de feest-metafoor. Deze is wel erg lastig te bedenken bij de contractuele bepalingen aangaande digitale weerbaarheid die gesloten moeten worden met derde aanbieders van ICT-diensten. Mocht een organisatie deze diensten in eigen beheer hebben, hoeven er natuurlijk geen contracten gesloten te worden.
Artikel 28 en 30 DORA schrijven de voorwaarden vervolgens vrij zakelijk voor. De eerste voorwaarde die men vaak zal behandelen is een duidelijke omschrijving van alle door de derde aanbieder van ICT-diensten te leveren functies en ICT-diensten. Veelal zullen deze ICT-diensten en functies verwoord zijn in de al gesloten overeenkomst met de ICT-dienstverlener in kwestie.
Alles over DORA wordt in de praktijk dan ook (vaak) in een addendum gegoten, zoals bijvoorbeeld het model dat het Verbond van Verzekeraars heeft laten ontwikkelen. Iedere leverancier wil logischerwijs dergelijke addenda aangepast hebben, zodat deze op een wenselijke manier aansluiten op hun organisatie. Kennis van de wettekst, RTS- en ITS-en is hierbij essentieel.
De bepalingen die hierop volgen zijn eigenlijk allemaal bedoeld om een betrouwbare en goede levering van deze functies te waarborgen en geven de financiële entiteit meer mogelijkheden wanneer dit niet het geval is. Vaak zijn deze bepalingen tot op zekere hoogte al opgenomen in de gesloten overeenkomsten met ICT-dienstverleners, maar gaan de verplichtingen vanuit DORA net iets verder. Hierin wordt een onderscheid gemaakt tussen kritieke en niet kritieke functies, waarbij meer voorwaarden gelden voor de kritieke functies.
Wat de definitie van een ‘kritieke functie’ is, vinden we terug in artikel 2 lid 22 DORA:
“Een functie waarvan de verstoring wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit (…)of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en (…)verplichtingen uit hoofde van het toepasselijke recht inzake financiële diensten”
In de context van DORA gaat het specifiek om uitbestede en geleverde diensten aan of door een ICT-dienstverlener die dusdanig belangrijk zijn voor de financiële entiteit in kwestie. Voor kritieke diensten zijn de aanvullende contractuele bepalingen opgenomen in artikel 30 lid 3 DORA en bevat onder andere aanvullende vereisten omtrent monitorings- en auditverplichtingen (sub e) en exit plannen (sub f).
De beheersmaatregelen
Vooruit, nog een metafoor dan: de “afterparty”. Deze kunnen we vinden in de verschillende beheersmaatregelen waarvan verwacht wordt dat de financiële entiteiten en hun ICT-dienstverleners die hebben genomen. Deze beheersmaatregelen zijn onderverdeeld in vijf pijlers: ICT Risico Management, Incident Management, Weerbaarheidstesten (TLPT), Derde ICT-aanbieders Risico Management en Informatie-uitwisseling. Voor een snelle toelichting op deze pijlers kan ik onze cheat sheet van harte aanbevelen.
Handhaving van de DORA wordt in lijn met het Handhavingsbeleid van de AFM en DNB gedaan. In eerste instantie met informele middelen zoals een goed gesprek, maar er kan ook gegrepen worden naar de bestuurlijke boete. Zoals gebruikelijk bij Europese wetgeving kunnen ook bij DORA de bedragen van dergelijke boetes flink oplopen. Kortom, voldoende reden voor financiële entiteiten om maatregelen in plaats te hebben en er bovendien er voor te zorgen dat hun ICT-leveranciers ook hun zaakjes op orde hebben.
De Nederlandsche Bank verwacht van financiële entiteiten dat zij hun organisatie al klaar hebben gestoomd voor volledige compliance met DORA. Om dit te ondersteunen wordt aangeraden een gap-analyse uit te voeren en wordt men aangemoedigd kennis binnen de sector te delen. Het uitvoeren van dergelijke analyses, DORA-quickscans of ondersteuning bij de 5 pijlers van DORA zijn onderwerpen waar ICTRecht uiteraard bij kan helpen.
Heeft jouw organisatie te maken met de DORA? Bij ICTRecht denken we graag met je mee, zodat het feest niet in het water valt.
