DORA legt ook aan pensioenfondsen verplichtingen op als het gaat om het beheersen van ICT-risico’s. In combinatie met het gegeven dat pensioenfondsen hun ICT veelal uitbesteden - aan fiduciair managers dan wel vermogensbeheerders - levert dat een specifieke verantwoordelijkheid op.
Zowel door toezichthouders als in diverse vakbladen is de urgentie van DORA inmiddels meer dan duidelijk gemaakt. Meerdere artikelen hebben de impact van DORA op vermogensbeheerders beschreven. Ook pensioenfondsen zullen echter op korte termijn aan de slag moeten gaan met de implementatie van de beheersing van ICT-risico’s. Deze implementatie door pensioenfondsen zal ook impact hebben op hun vermogensbeheerders. Dat is in ieder geval het beeld dat volgt uit de tweede tranche reguleringsnormen van december 2023. Hierin worden de vereisten beschreven voor het sub-contracteren van ICT-diensten die een kritieke of belangrijke functie ondersteunen.
Ketenafhankelijkheid
Veel Nederlandse pensioenfondsen vertrouwen in belangrijke mate op hun uitvoeringsorganisaties, fiduciaire managers (vermogensbeheerders). Fiduciair managers zijn vaak door pensioenfondsen op basis van een brede dienstverlenings- of uitbestedingsovereenkomst aangesteld om financiële en/of administratieve diensten te verlenen. Het geheel of gedeeltelijk verlenen van ICT-diensten maakt vaak ook onderdeel uit van deze uitbestedingsovereenkomst, maar is dikwijls generiek geformuleerd.
Pensioenfondsen moeten bij de implementatie van DORA onderkennen i) dat zij een zelfstandige verplichting te hebben om aan DORA-vereisten te voldoen, ii) dat de positie aan de top van de uitbestedingsketen van ICT-diensten specifieke uitdagingen op het gebied van informatieasymmetrie meebrengt en iii) dat de impact van DORA op het niveau van vermogensbeheerders niet gelijk is aan de impact op pensioenfondsen.
Informatieasymmetrie
Met een grote mate van (ICT-)uitbesteding is inhoudelijke kennis op het gebied van (ICT-)risico’s beperkt aanwezig bij de pensioenfondsen zelf. Pensioenfondsen moeten hun zelfstandige verantwoordelijkheid en positie bovenaan de uitbestedingsketen adresseren door de informatieasymmetrie op te lossen. Pensioenfondsen zullen hier een regierol moeten innemen ten aanzien van hun uitbestedingspartners, waaronder de fiduciaire manager.
De informatieasymmetrie tussen enerzijds pensioenfondsen, en anderzijds fiduciair managers wordt momenteel opgevangen door bijvoorbeeld een ISAE 3402 type II-verklaring en de uitbestedingsovereenkomst met kritieke prestatie indicatoren. De ISAE-verklaring wordt achteraf verstrekt en dekt niet volledig de onder DORA geldende verplichtingen. Daarom is de bestaande uitbestedingsovereenkomst eveneens van belang om compliant met DORA te worden.
Uitbestedingsovereenkomsten met fiduciair managers hebben wel betrekking op ICT-diensten die kritieke of belangrijke functies van pensioenfondsen ondersteunen, maar zijn geen kernactiviteit van fiduciair managers. Het is daarom goed denkbaar dat deze uitbestedingsovereenkomsten nog niet voldoen aan de verplichtingen die DORA stelt ten aanzien van het identificeren en beheersen van ICT-risico’s ten aanzien van de fiduciair managers.
Een oplossing is mede gelegen in de service level afspraken met hun fiduciair manager. Alleen door concrete afspraken op het gebied van monitoring en rapportage met de fiduciair manager blijft het pensioenfonds in control van het ketenrisico op het gebied van ICT-diensten.
Vertrouwen is goed, ketens zijn beter?
Bij het controleren van ICT-risico’s in de uitbestedingsketen is vertrouwen op de uitbestedingspartner geen garantie voor compliance met DORA. Pensioenadministrateurs kunnen onder DORA weliswaar kwalificeren als aanbieder van ICT-diensten, maar het zwaartepunt van de DORA-verplichtingen ligt bij de pensioenfondsen als financiële entiteit. Echter, fiduciair managers zullen doorgaans onder DORA vallen als financiële entiteit. Het is daarom goed denkbaar dat de kwalificatie van kritieke en belangrijke functies voor de fiduciaire manager anders is dan de kwalificatie door pensioenfondsen zelf. Pensioenfondsen en fiduciair managers moeten zich bewust zijn van dit spanningsveld in de keten van ICT-diensten.
Een pensioenfonds moet zich vergewissen van de scope van DORA-vereisten door de fiduciair manager als uitbestedingspartner. Heeft een fiduciair manager bijvoorbeeld niet alleen een audit right bedongen voor de functies die voor de fiduciair manager zelf kritiek of belangrijk zijn, maar óók voor de contracten die de kritieke en belangrijke functies van het pensioenfonds betreft? In de praktijk zal hier gedeeltelijk overlap zijn, maar daar kan het pensioenfonds niet zomaar van uitgaan. Pensioenfondsen en fiduciaire managers zullen hier samen een assessment op moeten doen.
Conclusie
De eerste stap om de ICT-risico’s in de uitbestedingsketen te beheersen is het adequaat vastleggen van de verplichtingen met fiduciair managers in de bestaande uitbestedingsovereenkomsten. Deze overeenkomsten zijn op het gebied van kritieke ICT-diensten vaak nog te algemeen geformuleerd. Pensioenfondsen zullen in hun regierol aan de top van de uitbestedingsketen in belangrijke mate een beroep doen op hun fiduciaire manager om in samenwerking hun derde-risico’s te beheersen door de gehele uitbestedingsketen. Daarbij zal de concretisering van afspraken ten aanzien van ICT-diensten en verschillen in interpretatie van kritieke functies een belangrijk onderwerp van gesprek zijn.
Joni Dori is director bij AF Advisors. AF Advisors is een van de kennisexperts die maandelijks een bijdrage voor Investment Officer schrijft.