Financiële toezichthouders in Europa gaan vanaf 2025 specifiek letten op cyberrisico’s en digitale weerbaarheid, zo heeft de Europese autoriteit voor de financiële markten Esma bekendgemaakt. Het thema is toegevoegd als overkoepelende prioriteit voor de toezichthouders in de EU-lidstaten.
Het besluit moet het toezicht op IT-risicobeheer bij financiële ondernemingen versterken. Dit met het oog op het handhaven van de weerstand van Europese financiële markten tegen opkomende cyberdreigingen. De koppeling van dit initiatief aan de Digital Operational Resilience Act (Dora) benadrukt de geïntegreerde aanpak van digitale veiligheid die Esma nastreeft.
Met de benoemen van digitale weerbaarheid tot hoogste prioriteit binnen de Esma-gemeenschap, dienen fonds- en vermogensbeheerders zich op te maken voor intensiever toezicht op hun interne systemen, processen en bestuur met betrekking tot de veiligheid van hun IT-systemen. Dit vooruitzicht op strikter toezicht betekent dat bedrijven die hun systemen nog moeten bijwerken, in feite nog een jaar de tijd hebben om het risico op een reprimande van toezichthouders te vermijden.
Gelijk met Dora van kracht
De nieuwe EU-prioriteiten worden tegelijkertijd met het Dora-kader van kracht in 2025. ‘Dit tijdschema is bedoeld om toezichthouders en ondernemingen in de lidstaten genoeg tijd te geven zich voor te bereiden op de naleving van de nieuwe regelgevingseisen’, aldus Esma. ‘In de tussentijd zullen Esma en de nationale bevoegde autoriteiten de voorbereidende werkzaamheden uitvoeren om de toezichtactiviteiten te plannen en vorm te geven binnen deze prioriteit.’
De Luxemburgse toezichthouder Cssf ziet Dora overigens ook als een uitdaging voor de toezichthouders zelf. Directeur-generaal Claude Marx gaf in het jaarverslag van 2022 aan dat de Cssf zich moet aanpassen aan ‘deze complexe, veranderende omgeving’ met digitale producten, diensten en netwerken, ‘zonder afbreuk te doen aan de kerntaak: de bescherming van consumenten en beleggers en het bijdragen aan de financiële stabiliteit’.
‘Red-team hackers’
De Cssf is een permanent lid van het Subcomité voor digitale operationele veerkracht van de Europese toezichthoudende autoriteiten. Daarnaast volgt de Cssf de implementatie van NIS2 en de eIDAS-verordeningen. Ook is begonnen met toezicht op de eerste tests binnen het zogenaamde Tiber-EU-kader, waarbij dreigingsinformatie en red-team hackers samenwerken om de cyberweerbaarheid van entiteiten te testen en te verbeteren door gecontroleerde cyberaanvallen uit te voeren. In Nederland werkt de AFM in het kader van het Tiber-project samen met DNB.
Het doel van Dora is om een uniform regelgevend en toezichthoudend kader te ontwikkelen voor de digitale weerbaarheid in de financiële sector. Dit omvat ICT-bestuur, ICT-risicobeheer, geavanceerde penetratietests die cyberaanvallen simuleren, een geharmoniseerde melding van incidenten, het beheer van risico’s van externe ICT-dienstverleners en informatie-uitwisseling.
Van EU-toezichthouders wordt verwacht dat zij hun toezicht en monitoring verbeteren en hun capaciteit en expertise vergroten om de uitdagingen van een veranderend technologisch landschap aan te gaan. ‘Deze ontwikkeling duidt op een steviger kader om potentiële cascade-effecten van cyberincidenten in de gehele financiële sector te voorkomen en beperken’, aldus Esma.
Met het oog op 2025 zal Esma samenwerken met nationale bevoegde autoriteiten zoals de AFM en Cssf en is men bezig met voorbereidend werk om de contouren te bepalen van de toezichtactiviteiten die onder deze herziene prioriteit moeten worden uitgevoerd.
Kwaliteit van marktgegevens
Door de herziening van de prioriteiten zullen cyberrisico’s en digitale weerbaarheid de plaats innemen van de kwaliteit van marktgegevens, een gebied waarop Esma en de nationale toezichthouders intensief toezicht hebben gehouden. De resultaten van deze inspanningen zijn zichtbaar in uniforme methodes voor datakwaliteit en kaders voor gegevensdeling, alsook in toezichtinstrumenten en het extraheren van inzichten uit gerapporteerde gegevens.
‘Het waarborgen van de kwaliteit van gegevens blijft een primaire verantwoordelijkheid van de onder toezicht staande entiteiten’, merkt Esma op. ‘Bedrijven, met name het hogere management, moeten eigenaarschap nemen over de door hen gerapporteerde gegevens en het gebruik ervan ook voor interne doeleinden uitbreiden. EU-toezichthouders zullen doorgaan met belangrijk toezichtwerk op het gebied van gegevenskwaliteit, waarbij zij gebruikmaken van de nieuwe methoden en instrumenten die zijn ontwikkeld.’
Dus ook al kan dit thema geen topprioriteit meer krijgen, ‘nauwgezette aandacht hiervoor blijft essentieel voor het opbouwen van een op data gebaseerde toezichtbenadering, een belangrijke strategische doelstelling onder de Esma-strategie’, zo voegt de autoriteit toe.
Greenwashing
De strategische prioriteiten voor Europees toezicht (Ussp’s) worden gezien als een instrument waarmee Esma op Europese schaal toezichtacties coördineert. Overigens blijft het voorkomen van greenwashing daartoe behoren. Toezichthouders zullen volgens Esma ‘doorgaan met het verfijnen van ESG-disclosure praktijken om greenwashing tegen te gaan, het begrip van beleggers te vergroten en duurzaamheid te integreren in advisering. Dit initiatief zal in 2024 centraal staan, en zal cruciale segmenten zoals uitgevers, beleggingsbeheerders en beleggingsondernemingen binnen het ecosysteem van duurzame financiering omvatten.’
Gerelateerde artikelen:
- Bestuurder moet in 2025 ook ‘in control’ zijn over cyberrisico
- Pensioenfondsen extra alert op cyberrisico’s
- Esma: nationale toezichthouders moeten intensiever samenwerken