De inkt van de duurzaamheidsregelgeving is nog niet opgedroogd of vermogensbeheerders worden geconfronteerd met dat andere speerpunt op de agenda van de Europese Commissie: digitalisering. Eind vorig jaar werd de tekst van de Digital Operational Resilience Act (DORA) gepubliceerd.
Inmiddels vindt DORA ook tractie bij Europese en nationale toezichthouders. Zo publiceerden de gezamenlijke Europese toezichthouders in juni van dit jaar al een deel van de technische reguleringsnormen (Level 2) ter consultatie en wees de AFM de sector in juli ook op de verantwoordelijkheid om zo vroeg mogelijk te beginnen met de voorbereiding op DORA in de publicatie: Goed voorbereid op de komst van DORA.
De AFM stelt dat partijen al aan de slag kunnen met de voorbereiding van die secties in DORA die al finaal zijn en niet worden uitgewerkt in technische reguleringsnormen. Het detailniveau van de draft Level 2 regelgeving geeft genoeg reden om ook de Level 2 regels mee te nemen in een impact assessment, omdat de werkzaamheden omvangrijk zijn.
More than a feeling
Dat de AFM een gevoel van urgentie bij marktpartijen wil creëren is terecht. In de eerste plaats, omdat de afronding van de draft Level 2 voorlopig op zich laat wachten tot in ieder geval medio 2024. De formele publicatie zal nog later plaatsvinden. Met de inwerkingtreding van DORA op 17 januari 2025 is het wachten op de formele Level 2 teksten geen optie, omdat de werkzaamheden te omvangrijk en ingrijpend zijn om binnen een paar maanden af te ronden.
Ten tweede is de verwevenheid met en afhankelijkheid van ICT-diensten niet meer uit de financiële sector weg te denken. De verhouding met interne stakeholders (e.g. Risk, Compliance en IT) en externe stakeholders (e.g. applicatie- en cloudleveranciers) in het kader van ICT-risico’s is daarom complex. Het in kaart brengen van deze verwevenheid tussen stakeholders is een tijdrovende klus en dit geldt zeker ook voor de onderlinge afstemming bij implementatie van de DORA-regelgeving.
With a little help from your friends
DORA beoogt een oplossing te bieden voor een lappendeken aan toezichtregelgeving en beleidsuitingen. Deze harmonisatie is op termijn goed haalbaar, maar de weg ernaartoe zal geen gemakkelijke zijn. In de eerste plaats heeft veel bestaande regelgeving nog geen directe werking voor vermogensbeheerders. DORA brengt hier, als verordening, verandering in. Denk daarbij aan de EBA richtsnoeren inzake ICT en risicobeheer op het gebied van veiligheid.
Deze richtsnoeren wijzen op het beperkte bindende karakter van de regels. Er is daarom steeds ruimte geweest voor vermogensbeheerders om een eigen invulling te geven aan deze richtsnoeren. Ook de 58 beheersmaatregelen (‘good practices’) in Good Practice voor Informatiebeveiliging van DNB biedt ruimte voor een eigen invulling op basis van het ‘volwassenheidsmodel’ dat DNB hanteert in de self-assessment.
Ten tweede raakt DORA vermogensbeheerders zowel in de breedte van de organisatie als op heel specifieke punten. Bestaande regelgeving op het gebied van ICT is tot nog toe in de breedte generiek, of op een specifiek IT-thema meer concreet. Vermogensbeheerders die deze normen hebben geïmplementeerd lopen bij DORA het risico om bij brede maatregelen niet concreet genoeg te zijn of concrete maatregelen niet breed genoeg in de organisatie te hebben uitgerold. Een simpel voorbeeld: op basis van de huidige uitbestedingsregels gelden enkele verplichte contractuele bepalingen. DORA kent ook verplichte contractuele bepalingen, maar deze gelden niet alleen voor uitbesteding maar voor alle contracten met IT-dienstverleners.
Op basis van bestaande regelgeving zitten vermogensbeheerders dus tussen hamer en aambeeld. Gelet op de uitbreiding in scope en omvang van DORA zijn de inspanningen uit het verleden geen garantie voor compliance in de toekomst.
Uitdagingen
DORA wordt zowel voor partijen met een hoog als een laag volwassenheidsniveau op het gebied van digitale weerbaarheid een flinke klus. Partijen met een onderontwikkeld ICT-risicoraamwerk moeten aan de bak om een dergelijk raamwerk tijdig op te tuigen. Partijen met (een tot nu toe) goed ontwikkeld ICT risicoraamwerk zullen veel organisatorische beleidsdocumenten en procedures moeten herijken en passend maken voor DORA.
De recent gepubliceerde technische standaarden bieden inzicht in het detailniveau waar rekening mee gehouden kan worden. Uitgangspunt is dat de technische reguleringsnormen voor zover mogelijk ‘principle-based’ zijn, tenzij rule-based regelgeving nodig is voor een passend niveau van detail. In de praktijk betekent dit dat de draft Level 2 regels bij vlagen erg specifiek zijn en niet alleen eisen stellen aan ‘wat’ geïmplementeerd is, maar ook aan ‘hoe’ geïmplementeerd wordt.
Met de publicatie Goed voorbereid op de komst van DORA, helpt de AFM vermogensbeheerders zeker een eindje op weg, al is het maar door een gevoel van urgentie te creëren. Als de geconsulteerde Level 2 regelgeving een kanarie in de kolenmijn is, dan is het zinvol om alvast de eigen IT-organisatie gedetailleerd in kaart te brengen en de interne en externe stakeholders mee te nemen in dit proces. Houdt daarbij wel steeds in de gaten binnen welk DORA-regime uw organisatie valt. Zo gelden er uitzonderingen voor micro-ondernemingen op het testregime en monitoring van contracten met derde aanbieders van ICT-diensten. Voor kleine en niet-verweven beleggingsondernemingen geldt een vereenvoudigd ICT-risicobeheersraamwerk.
ICT-risicobeheer
Het is van belang om te kijken wat uw organisatie al heeft geïmplementeerd op het gebied van ICT-risicobeheer en op grond van welke eisen dit beleid is opgesteld. Zo stelt de Good Practice van DNB beheersmaatregelen voor, maar dit is geen garantie voor compliance met DORA. De draft Level 2 normen tonen gedetailleerde inhoudelijke eisen aan onder andere het business continuïteitsbeleid, encryptie en operationele beveiligingsmaatregelen en ook op het gebied van project- en changemanagement. Het is dus van belang om in detail te weten welke eisen wel geïmplementeerd zijn en waar nog verbetering nodig is. Ook als er een goed volwassenheidsniveau is geïdentificeerd op basis van de Good Practice van DNB.
Tot slot is het van belang om zowel de interne- als externe stakeholders tijdig mee te nemen in het proces van de DORA-implementatie. Ter illustratie, de definitie van ICT-dienst is bijzonder breed geformuleerd onder DORA. Het is dus goed mogelijk dat bepaalde dienstverleners die u identificeert als derde ICT-dienstverlener (van een kritieke of belangrijke functie) anders denken over die kwalificatie. Met het oog op de (pre-)contractuele vereisten die gelden voor derde ICT-dienstverleners, is het verstandig om derde partijen hier in een vroeg stadium in mee te nemen. Dit maakt eventuele contractaanpassingen in een later stadium eenvoudiger en voorkomt onnodige vertraging.
Joni Dori is senior consultant bij AF Advisors. AF Advisors is één van de kennisexperts die maandelijks een bijdrage voor Investment Officer schrijft.