In DEEL I van onze blogserie schetsten we het kader van de Digital Operational Resilience Act (‘DORA’). In dit tweede deel van onze blogserie over DORA richten we ons op de implicaties of impact die DORA heeft voor normale IT-leveranciers. Normaal staat tegenover IT-leveranciers die ‘kritieke’, ‘belangrijke’ of ‘systemische’ IT-diensten leveren waarvoor een strenger regime geldt. In DEEL III van deze blogreeks gaan we verder in op deze ‘kritische’ IT-leveranciers.
Beheer van IT-leverancier risico’s
Een van de aandachtspunten voor ICT-beveiliging en digitale weerbaarheid voor financiële entiteiten is ‘IT-leveranciers Risico Management’. DORA heeft betrekking op een breed scala aan IT-leveranciers, waaronder leveranciers van cloud computing-diensten, software, data analyse-diensten en leveranciers van datacenterdiensten. Bedrijven die deel uitmaken van een financiële groep en voornamelijk IT-diensten verlenen aan hun moedermaatschappij of aan dochterondernemingen of vestigingen van hun moedermaatschappij, evenals financiële entiteiten die IT-diensten verlenen aan andere financiële entiteiten, moeten ook worden beschouwd als IT-leveranciers onder DORA.
Een financiële entiteit moet te allen tijde volledig verantwoordelijk blijven voor de naleving van de verplichtingen die zijn vastgelegd in DORA, wat betekent dat de financiële entiteit zorgvuldig toezicht moet houden op de mogelijke gevolgen van de diensten van de IT-leverancier voor de continuïteit en kwaliteit van de financiële dienstverlening op individueel en groepsniveau, voor zover van toepassing.
De uitvoering van een dergelijke monitoring gaat uit van een strategische benadering van IT-leverancier risico’s die de goedkeuring vereist van het management van de financiële entiteit en die een voortdurende screening van alle IT-leverancier afhankelijkheden mogelijk maakt. Alle financiële entiteiten moeten daarom een informatieregister bijhouden met alle contractuele afspraken over het gebruik van IT-diensten geleverd door IT-leveranciers. Financiële toezichthouders moeten het volledige register of specifieke delen ervan kunnen opvragen en zo essentiële informatie verkrijgen om een breder inzicht te krijgen in de IT-afhankelijkheden van financiële entiteiten.
Daarnaast moet er een grondige precontractuele analyse worden uitgevoerd voordat er formele IT-contracten worden gesloten met de IT-leverancier. Deze precontractuele analyse moet in het bijzonder gericht zijn op elementen zoals het kritieke karakter of het belang van de diensten die door het beoogde IT-contract worden ondersteund, de benodigde goedkeuringen van toezichthouders of andere voorwaarden, het mogelijke concentratierisico dat ermee gepaard gaat, evenals het toepassen van due diligence in het proces van selectie en beoordeling van de IT-leverancier en het beoordelen van mogelijke belangenconflicten.
Het voorgaande betekent dat de IT-leverancier zal worden geconfronteerd met allerlei informatieverzoeken en precontractuele eisen van de financiële entiteit voordat er een contract kan worden gesloten. Bovendien zal de IT-leverancier, als het contract er eenmaal is, ervoor moeten zorgen dat hij gedurende de hele levenscyclus van het contract kan voldoen aan de normen en eisen die zijn vastgelegd in het risicokader van de financiële entiteit. Dit betekent dat processen en informatie (zoals certificaten) moeten worden onderhouden en waar nodig bijgewerkt.
Belangrijkste contractuele bepalingen
Vanuit contractueel oogpunt zal de op grond van DORA verplichte harmonisatie van de belangrijkste contractuele bepalingen waarschijnlijk een belangrijke impact hebben voor de IT-leverancier. Een dergelijke harmonisatie zou de onderwerpen moeten bestrijken die cruciaal zijn om een volledige controle door de financiële entiteit mogelijk te maken van de risico’s die kunnen voortvloeien uit het gebruik van de diensten van de IT-leverancier. Ook vanuit het perspectief van de noodzaak van een financiële entiteit om haar digitale veerkracht veilig te stellen, omdat zij sterk afhankelijk is van de stabiliteit, functionaliteit, beschikbaarheid en beveiliging van de ontvangen IT-diensten.
Daarom moeten IT-leveranciers en financiële entiteiten bij het aangaan van nieuwe contracten met IT-leveranciers of bij het heronderhandelen van contractuele afspraken ervoor zorgen dat de belangrijkste contractuele bepalingen zoals voorzien in DORA worden geadresseerd. DORA geeft geen duidelijk of dit ook betekent dat bestaande IT-contracten moeten worden aangepast, maar het hoeft geen betoog dat dit zowel voor de financiële entiteit als voor de IT-leverancier raadzaam zou zijn.
Wat zijn de belangrijkste contractuele bepalingen die moeten worden opgenomen in IT-contracten (en dit geldt voor alle IT-contracten, dus zowel voor normale als kritische IT-leveranciers)?
Levering van diensten
DORA vereist dat de rechten en plichten van de financiële entiteit en van de IT-leverancier duidelijk worden toegewezen en schriftelijk worden vastgelegd. Dat klinkt voor de hand liggend, maar betekent dat het volledige contract waaronder de service level agreements voor alle partijen beschikbaar moet zijn in één schriftelijk document.
De contractuele regelingen moeten met name voorzien in een specificatie van de volledige beschrijving van functies en diensten. Daarnaast moeten de locaties, d.w.z. regio’s of landen, waar dergelijke functies worden geleverd en waar gegevens worden verwerkt, inclusief de opslaglocatie, worden beschreven. Het contract moet ook de vereisten bevatten voor de IT-leverancier om te melden als er iets verandert aan de locaties. Het contract moet ook een beschrijving van de serviceniveaus bevatten, dat wil zeggen welke serviceniveaus van toepassing zijn op de services en wat de normen zijn (bijv. beschikbaarheidspercentage) voor de serviceniveaus.
Beveiliging en audit
Financiële entiteiten mogen alleen contractuele afspraken maken met IT-leveranciers die voldoen aan passende normen voor informatiebeveiliging. IT-leveranciers moeten daarom beschikken over (internationaal) aanvaarde beveiligingscertificaten. De IT-contracten moeten ook de voorwaarden bevatten waaronder de IT-leverancier de financiële entiteit op de hoogte moet brengen van wijzigingen met betrekking tot haar eigen beveiliging. Naleving van de beveiligingsnormen betekent voor de IT-leverancier ook dat hij bedrijfsnoodplannen moet implementeren en testen en dat hij moet beschikken over ICT-beveiligingsmaatregelen, hulpmiddelen en beleids die een passend beveiligingsniveau bieden voor de dienstverlening aan de financiële entiteit.
Bij het uitoefenen van toegangs-, inspectie- en auditrechten over de IT-leverancier, moeten financiële entiteiten, op basis van een risicogebaseerde benadering, de frequentie van audits en inspecties en de te controleren gebieden vooraf bepalen (en opnemen in het IT-contract) door zich te houden aan algemeen aanvaarde auditnormen in overeenstemming met eventuele instructies van de toezichthouder over het gebruik en de opname van dergelijke auditnormen.
(Persoonlijke) gegevens
Het IT-contract moet bepalingen bevatten over beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid met betrekking tot de bescherming van gegevens, waaronder persoonsgegevens. DORA zegt echter niet wat de inhoud van deze bepalingen moet zijn. Aangezien niet-naleving van deze bepalingen de financiële entiteit het recht geeft om het IT-contract te beëindigen, moeten de serviceniveaus in verband hiermee duidelijk zijn en zal de financiële entiteit realistische nalevingsmogelijkheden willen hebben in geval van niet-naleving.
De financiële entiteit moet ook te allen tijde toegang kunnen hebben tot haar gegevens en over haar gegevens kunnen beschikken. Dit betekent dat het IT-contract bepalingen moet bevatten over het waarborgen van toegang, herstel en teruggave in een gemakkelijk toegankelijk format van persoonlijke en niet-persoonlijke gegevens in geval van insolventie, afwikkeling of beëindiging van de bedrijfsactiviteiten van de IT-leverancier, of in geval van beëindiging van de contractuele afspraken.
Samenwerking van de IT-leverancier
De IT-leverancier moet op verschillende manieren samenwerken met de financiële entiteit en het IT-contract moet bepalingen bevatten om dat te doen.
Ten eerste is er de verplichting van de IT-leverancier om bijstand te verlenen aan de financiële entiteit zonder extra kosten, of tegen kosten die vooraf worden bepaald, wanneer zich een IT-incident voordoet dat verband houdt met de aan de financiële entiteit verleende IT-dienst.
Ten tweede moet de IT-leverancier volledig samenwerken met de bevoegde autoriteiten van de financiële entiteit, met inbegrip van de door hen aangewezen personen, in geval van onderzoeken of vragen van deze autoriteiten.
Ten derde moet het IT-contract de voorwaarden beschrijven voor de deelname van de IT-leverancier aan de ICT-bewustmakingsprogramma’s voor beveiliging van de financiële entiteit en de training in digitale operationele weerbaarheid, in overeenstemming met de verplichtingen met betrekking tot bewustmaking en training die de financiële entiteit heeft onder DORA.
Beëindiging en (basis)exit
Het IT-contract moet specifieke bepalingen bevatten over ontbinding (wat betekent dat een algemene bepaling voor ontbinding in geval van niet-nakoming niet volstaat). Financiële entiteiten moeten ervoor zorgen dat contractuele afspraken over het gebruik van IT-diensten kunnen worden ontbonden in elk van de volgende omstandigheden: (i) schending van de wet door de IT-leverancier, (ii) een verslechtering van de uitvoering van functies, (iii) kwetsbaarheid van de IT-leverancier in relatie tot het algehele ICT-risicobeheer van de financiële entiteit en (iv) de toezichthoudende autoriteit is niet langer in staat om toezicht te houden vanwege nalatigheid van de IT-leverancier.
Eventuele opzegmogelijkheden van de IT-leverancier moeten in overeenstemming zijn met de desbetreffende minimumopzegtermijnen voor de beëindiging van de contractuele regelingen, in overeenstemming met de verwachtingen van bevoegde autoriteiten. Dat zou kunnen verwijzen naar de EBA- of EIOPA-richtsnoeren voor verzekeringsondernemingen of banken, waarin de opzegtermijnen die nodig zijn voor de overgang van diensten zijn uitgewerkt. Hoewel niet expliciet vermeld voor (niet-kritische) IT-leveranciers, betekent de verwijzing naar de verwachtingen van de bevoegde autoriteiten ook dat IT-contracten een verplichting voor de IT-leverancier moeten bevatten om mee te werken aan een exit of transitie van de IT-diensten naar een andere IT-leverancier.
Impact vanuit het perspectief van de (niet-kritische) IT-leverancier
Hoewel de DORA in januari 2025 van kracht wordt, betekent dit niet dat de IT-leverancier van financiële entiteiten niet nu al kan anticiperen op de gevolgen van de DORA, zoals beschreven in deze blog:
- Kijk kritisch naar de eigen IT-contracten en kijk of deze de belangrijkste contractuele elementen bevatten die in DORA worden genoemd. Vergeet niet dat er open of vage normen zijn, en door proactief te zijn als IT-leverancier kun je deze zodanig opstellen dat ze passen binnen de DORA-normen. Dit geldt niet alleen voor nieuwe contracten die na januari 2025 worden afgesloten, maar ook voor bestaande contracten.
- Kijk naar processen binnen de organisatie om te zien of je deze kunt afstemmen op of voorbereiden op de vereisten van DORA, zoals beveiligingseisen, incident response eisen of samenwerking met de financiële entiteit, maar ook de vereiste pre-contractuele analyse die de financiële entiteiten zullen moeten uitvoeren en de informatie die nodig zal zijn van de IT-leverancier.
- Zorg ervoor dat je over de nodige informatie, certificaten of audits beschikt (zoals certificaten om een gepast beveiligingsniveau aan te tonen) en start, indien dit nog niet het geval is, de procedures en processen die nodig zijn om deze te verkrijgen. Deze procedures kunnen erg tijdrovend zijn, en als je dit voor januari 2025 voor elkaar wilt hebben, moet je op korte termijn actie ondernemen.
Bovenop de in deze blog genoemde vereisten, zullen kritische IT-leveranciers aan een strenger regime moeten voldoen. In DEEL III van onze blogserie richten we ons daarom op de impact van DORA voor de kritische IT-leverancier.
