In een eerdere blog hebben wij u geïnformeerd over de EIOPA-richtlijnen, die richtlijnen bevatten voor verzekeringsmaatschappijen voor de uitbesteding aan aanbieders van bestaande en nieuwe clouddiensten. Dit zijn echter slechts richtlijnen die zich richten op zeer specifieke diensten voor een beperkt type entiteiten in de financiële sector, namelijk verzekeringsmaatschappijen.
Al in 2019 heeft de Europese Bankautoriteit (“EBA”) gevraagd om een coherente aanpak van cyberrisico’s. De conclusie was dat cyberbeveiliging en digitale weerbaarheid in de financiële sector in de nationale lidstaten slechts op enkele gebieden en op verschillende manieren worden aangepakt. Momenteel zijn de vereisten met betrekking tot het beheer van cyberrisico’s in de financiële sector vastgelegd in acht verschillende richtlijnen, die elk gericht zijn op verschillende soorten financiële entiteiten en een verschillend toepassingsgebied hebben. Elk van deze richtlijnen is omgezet in nationale wetgeving, waardoor verschillen ontstaan (ook via nationale richtsnoeren zoals de EIOPA-richtsnoeren of de DNB Good Practice).
Deze juridische verschillen en ongelijke nationale benaderingen van regelgeving of toezicht met betrekking tot ICT-risico’s hebben een negatief effect op de interne markten voor financiële diensten, met name voor financiële entiteiten die in verschillende lidstaten actief zijn en verschillende financiële diensten aanbieden. Daarom is de Digital Operational Resilience Act (DORA), een verordening, aangenomen en gepubliceerd in het Europees Publicatieblad van 27 december 2022. DORA treedt volledig in werking op 17 januari 2025.
Harmonisatie van de regels inzake ICT-risicobeheer is een van de belangrijkste doelstellingen van DORA. Het toepassingsgebied is dan ook zeer ruim. Het omvat alle financiële actoren (d.w.z. de partijen die op enigerlei wijze betrokken zijn bij het aanbieden van financiële producten en daarmee verband houdende diensten), met inbegrip van kredietinstellingen en beleggingsondernemingen, betalingsinstellingen, instellingen voor elektronisch geld, ratingbureaus, verzekeringsmaatschappijen en auditors.
Betekent dit dat alle andere richtlijnen niet meer zullen gelden? Nee, dat is niet het geval. Deze richtlijnen zullen worden gewijzigd om ze in overeenstemming te brengen met de DORA. Naast DORA is op 27 december 2022 een speciale wijzigingsrichtlijn gepubliceerd om de algemene regels van acht andere richtlijnen te wijzigen teneinde de in DORA bedoelde verplichtingen inzake operationeel risicobeheer toe te passen op entiteiten die onder deze richtlijnen vallen. Deze wijzigingsrichtlijn moet ook op 17 januari 2025 door de lidstaten zijn geïmplementeerd.
En om het nog complexer te maken, is ook op 27 december 2022 de richtlijn inzake netwerk- en informatiebeveiliging (NIS-2) in het Europees Publicatieblad gepubliceerd. Er is een zekere overlap met DORA. NIS-2 kent, net als DORA, regels voor risicobeheer op het gebied van cyberbeveiliging en rapportageverplichtingen voor een breed scala aan organisaties die onder het toepassingsgebied van NIS-2 vallen.
NIS-2 is van toepassing op financiële entiteiten en ook op hun ICT-leveranciers. DORA kent een niveau van ICT-risicobeheer en ICT-gerelateerde incidentenrapportage dat strenger is dan NIS-2, daarom vormt DORA een ‘Lex Specialis’ met betrekking tot NIS-2, wat betekent dat financiële entiteiten, bovenop NIS-2, zullen moeten voldoen aan de strengere eisen van DORA.
Wij zullen u in een andere reeks blogs nader informeren over de relatie tussen DORA en NIS-2.
DORA-kader
DORA kent in principe vijf gebieden met regels voor ICT-beveiliging en digitale weerbaarheid (zie onderstaande tabel).
ICT-risicobeheer (I) | ICT-gerelateerde incidenten (II) | testen van digitale operationele veerkracht (III) | ICT-risicobeheer van derden (IV) | delen van informatie (V) |
ICT-risicobeheer: Het management van de financiële entiteit heeft de volledige verantwoordelijkheid voor het beheer van ICT-risico’s. Financiële entiteiten moeten ook het ICT-risicolandschap in kaart brengen en beschikken over een alomvattend kader voor ICT-risicobeheer (met inbegrip van bedrijfscontinuïteit en noodherstel). Financiële entiteiten moeten een internationaal erkend beheersysteem voor informatiebeveiliging toepassen.
ICT-gerelateerde incidenten: Financiële entiteiten moeten een procedure voor ICT-gerelateerde incidenten invoeren en een beleid ontwikkelen met betrekking tot de monitoring, de maatregelen en de opvolging van dergelijke incidenten. Incidenten moeten worden ingedeeld volgens de geografische impact van het incident, het kritieke karakter van de door het incident getroffen diensten en de duur van het incident. Materialiteitsdrempels (bepalen wat “ernstige incidenten” zijn) en rapportagetermijnen voor vrijwillige of verplichte melding moeten nog worden uitgewerkt in gedelegeerde regelgeving en worden afgestemd op de NIS-2-richtlijn.
Testen van de digitale operationele veerkracht: DORA bevat een verplichting voor financiële entiteiten om een proportioneel en risico-gebaseerd programma voor het testen van de digitale operationele veerkracht uit te voeren. Een dergelijk programma moet voorzien in de uitvoering van een volledige reeks testen, zoals kwetsbaarheidsbeoordelingen en -scans, ‘open source’ analyses en netwerkbeveiligingsbeoordelingen. Bovendien moeten kritieke ICT-systemen en -toepassingen jaarlijks worden getest, en moeten sommige financiële entiteiten eens in de drie jaar penetratietests met geavanceerde dreigingen uitvoeren.
Risicobeheer van externe ICT-leveranciers: Als belangrijk onderdeel van het ICT-risicobeheerkader moeten financiële entiteiten een strategie inzake het risico van externe ICT-leveranciers vaststellen en regelmatig herzien, en een informatieregister bijhouden waarin alle contractuele regelingen met externe IT-leveranciers worden samengevat. DORA geeft ook een kader voor de belangrijkste stappen voor het inkopen van nieuwe ICT-diensten, de vereisten voor het beëindigen van deze diensten en specifieke contractuele bepalingen die moeten worden opgenomen in contracten met externe ICT-leveranciers. Ook moeten financiële entiteiten ICT-risicobeoordelingen uitvoeren voordat zij nieuwe contractuele regelingen met externe ICT-leveranciers aangaan.
Delen van informatie: het delen van informatie over cyberdreigingen tussen financiële entiteiten is toegestaan, mits deze uitwisseling van informatie tot doel heeft de digitale operationele weerbaarheid van financiële entiteiten te vergroten, plaatsvindt binnen vertrouwde platformen en in overeenstemming is met de toepasselijke wetgeving (zoals handelsgeheimen, mededingingsrecht en privacy).
DORA is niet volledig van toepassing op alle financiële entiteiten, maar maakt een onderscheid op basis van omvang en algemeen risicoprofiel. DORA bevat vrijstellingen of een lichter regime voor bepaalde financiële entiteiten die als micro-onderneming of als kleine of middelgrote onderneming kunnen worden aangemerkt.
Externe ICT-leveranciers
In deze blogserie willen we DORA nader bekijken vanuit het perspectief van de externe ICT-leverancier.
DORA bestrijkt een breed scala aan ICT-diensten en zal daarom van toepassing zijn op veel ICT- en cloudleveranciers (“ICT-leverancier”), waaronder aanbieders van cloud computing diensten, software, data-analysediensten en aanbieders van datacenterdiensten. Bovendien moeten ondernemingen die deel uitmaken van een financiële groep en voornamelijk ICT-diensten verlenen aan hun moederonderneming of aan dochterondernemingen, alsook financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten, ook worden beschouwd als externe ICT-leveranciers in het kader van DORA.
Aangezien DORA een onderscheid maakt tussen reguliere en kritische of systeemrelevante ICT-leveranciers en daaraan verschillende soorten eisen verbindt, zullen wij DORA bekijken vanuit het perspectief van de reguliere ICT-leverancier (DEEL II) en de kritische of systeemrelevante ICT-leverancier (DEEL III).
Wat zijn de gevolgen van DORA voor de dienstverlening door ICT-leveranciers aan financiële entiteiten en wat betekent dit voor de huidige en toekomstige ICT-overeenkomsten tussen de financiële entiteit en de IT-leverancier? Welke gevolgen heeft DORA voor het huidige kader (zoals geschetst in EIOPA en de ‘DNB Good Practice’) voor ICT-overeenkomsten tussen financiële entiteiten en ICT-leveranciers?
Al deze vragen en meer komen aan bod in onze volgende serie blogs.