De Digital Operational Resilience Act (Dora), die ingaat over ruim twee maanden, vraagt van pensioenfondsen en andere financiële instellingen dat zij hun digitale weerbaarheid te versterken. Naast het opstellen van beleid en procedures moeten zij hun ketenpartners en andere dienstverleners actief monitoren en regelmatig evalueren.
Deze doorlopende toetsing zorgt ervoor dat de veerkracht om cyberdreigingen te weerstaan continu wordt getest en verbeterd. De ingangsdatum van 17 januari 2025 markeert daarom geen einddatum, maar het begin van een constante focus op digitale weerbaarheid.
Maatregelen voortdurend toetsen
Met Dora moeten pensioenfondsen beschikken over beleid, procedures en procesbeschrijvingen op het gebied van governance, incidentenbeheer, testen en leveranciersmanagement. Veel hiervan was al verplicht op basis van de Good Practice Informatiebeveiliging van De Nederlandsche Bank. Dora vraagt om extra aanscherping om de digitale veerkracht te versterken en beter bestand te zijn tegen digitale dreigingen. Het opzetten en vaststellen van deze (beleids)stukken is een belangrijke eerste stap, maar de echte effectiviteit daarvan blijkt pas door regelmatige tests en monitoring. Het gaat er niet alleen om dat de documentatie er is, maar vooral dat de vastgestelde maatregelen daarin echt werken.
Doorlopende monitoring van ICT-dienstverleners speelt daarbij een cruciale rol. Dora eist namelijk dat de effectiviteit van de risicobeheersingsmaatregelen continu wordt getoetst. Daarom moeten pensioenfondsen regelmatig testen of de vastgelegde processen onder Dora daadwerkelijk bestand zijn tegen cyberaanvallen en andere verstoringen. Deze tests moeten specifiek gericht zijn op het waarborgen van de integriteit, stabiliteit en vertrouwelijkheid van de activiteiten van het betreffende pensioenfonds. Dit vraagt extra verantwoordelijkheid van pensioenfondsen die afhankelijk zijn van gespecialiseerde dienstverleners.
Impact afhankelijkheden identificeren
De operatie en bedrijfsvoering van pensioenfondsen vertrouwt sterk op externe (keten)partners, bijvoorbeeld op het gebied van pensioenbeheer en fiduciair beheer, inclusief de pensioen- en beleggingsadministratie. Effectief toezicht op deze partijen is cruciaal om risico’s voor digitale weerbaarheid en continuïteit te beperken. Pensioenfondsen moeten zorgvuldig identificeren welke risico’s deze partijen met zich mee brengen en passende maatregelen treffen om de impact hiervan te beheersen. Hierbij dient op basis van Dora de gehele kritieke (uitbestedings)keten te worden meegenomen.
Met de invoering van de Wet toekomst pensioenen (Wtp) nemen de onderlinge afhankelijkheden tussen een pensioenfonds en zijn ketenpartners toe, bijvoorbeeld op het gebied van de administratie van individuele pensioenvermogens en de frequentie van gegevensuitwisseling tussen de betrokken ketenpartners. Bovendien wordt gestimuleerd om meer te digitaliseren. Hierdoor neemt de kans op verstoringen toe die zich door de gehele keten kunnen verspreiden. Zo kan een kwetsbare dienstverlener de stabiliteit van het hele pensioenfonds onder druk zetten.
Daarom ligt de nadruk in onze ogen niet alleen op interne controles, maar ook sterk op het toezicht op externe dienstverleners. Dit omvat regelmatige risicobeoordelingen en de borging dat afspraken met deze partijen voldoen aan Dora-vereisten. Het evalueren van de effectiviteit van cybersecuritymaatregelen bij dienstverleners wordt naar verwachting een integraal onderdeel van risicobeheer. Hiervoor moeten pensioenfondsen beschikken over de juiste expertise om auditverklaringen en certificeringen van externe dienstverleners te interpreteren. Daarnaast moeten zij kritisch kunnen beoordelen welke ICT-risico’s ongedekt blijven en extra aandacht vereisen in de eigen organisatie.
Effectief testen en verifiëren van digitale weerbaarheid
Dora vereist dat pensioenfondsen en hun dienstverleners regelmatig scenariotests en andere passende tests uitvoeren om de weerbaarheid tegen cyberaanvallen en storingen vast te stellen.
Door de snelle evolutie van bedreigingen vraagt dit om dynamische en regelmatige tests van infrastructuur en processen, zowel voor interne systemen als externe dienstverleners. Regelmatig testen en monitoren stelt pensioenfondsen in staat om snel in te grijpen bij kwetsbaarheden en de continuïteit van hun dienstverlening te waarborgen. Het testen en verifiëren van de digitale weerbaarheid moet daarom een doorlopend proces zijn dat afgestemd wordt op de actuele dreigingen.
De start van het Dora-tijdperk
De invoering van Dora zet een nieuwe standaard voor digitale weerbaarheid in de Europese financiële sector. Voor pensioenfondsen betekent dit niet alleen dat beleid en procedures per 17 januari 2025 op orde moeten zijn, maar ook dat daarna een continu proces van monitoring, testen en samenwerking met dienstverleners volgt. De echte uitdaging zal liggen in de doorlopende naleving van deze eisen, vooral voor pensioenfondsen die sterk leunen op externe ketenpartners en dienstverleners.
Dora is daarmee meer dan een kwestie van compliance. Het biedt een kans om de digitale en operationele weerbaarheid structureel te versterken in een voortdurend veranderende dreigingsomgeving. Een actieve benadering van risicobeheer, afgestemd op de samenwerking met dienstverleners in de hele keten kunnen de sleutel zijn om risico’s beheersbaar te houden. Uiteindelijk zal het succes van pensioenfondsen en hun partners afhangen van hun vermogen om Dora te omarmen als een katalysator voor een cultuur van voortdurende waakzaamheid en flexibiliteit in een nieuw (en digitaal) pensioenlandschap.
Ed Vermeulen is director Organizational Consultancy, Dirk-Jan Gerrits is partner Regulatory Consultancy en Joni Dori is director Regulatory Consultancy bij AF Advisors. AF Advisors is deel van het expertpanel dat maandelijks een bijdrage voor Investment Officer schrijft.