Toezichthouders AFM en DNB willen dat de financiële sector vaker voor Europese leveranciers kiezen voor hun digitale dienstverlening. Vooral voor kleinere instellingen betekent dat advies ‘een flinke kostenpost’.
De financiële sector in Nederland is te afhankelijk geworden van een beperkte groep grote, veelal Amerikaanse, IT-dienstverleners, zo signaleren AFM en DNB. Eind oktober stelden de toezichthouders dat de financiële sector kwetsbaar is geworden door de afhankelijkheid van niet-Europese IT-leveranciers, waardoor er risico’s ontstaan dat verstoringen bij één leverancier grote delen van de sector raken.
Beide toezichthouders noemen concrete voorvallen waarbij uitval bij IT-leveranciers tot incidenten in de financiële sector heeft geleid. Zo veroorzaakte een fout in een software-update van Crowdstrike in juli vorig jaar een tijdelijke stilstand bij veel organisaties, waaronder banken. Ook het faillissement van Amsterdam Trade Bank in 2022 benadrukte de grote afhankelijkheid van IT-leveranciers voor de continuïteit van financiële diensten.
In een antwoord op schriftelijke vragen van Investment Officer over het onderwerp laat DNB weten dat ‘digitale afhankelijkheden en uitbestedingsrisico’s al lange tijd een risico vormen waar financiële instellingen aantoonbaar rekening mee moeten houden in hun interne beheersing’. ‘Met de intensivering van cyberdreigingen waaronder ransomware is de urgentie hiervan alleen maar verder toegenomen’, aldus DNB.
Hogere kosten
De toezichthouder pleit voor leveranciersdiversificatie of investeringen in Europese alternatieven. Iets wat ‘in de eerste instantie’ zal leiden tot hogere kosten, zo beaamt DNB. Het spreiden van IT-diensten over meerdere leveranciers vraagt namelijk om extra investeringen in integratie, beheer en contractmanagement. ‘Dit kan vooral voor kleinere instellingen een flinke kostenpost zijn’, aldus de toezichthouder.
Tegelijkertijd verkleint het investeren in diversificatie de kans op langdurige uitval en versterkt het de onderhandelingspositie tegenover grote aanbieders. Het gaat vendor lock-in tegen, waardoor instellingen meer grip houden op prijs, voorwaarden en continuïteit. ‘Hogere operationele kosten nu, kunnen gerechtvaardigd zijn als ze helpen om grote, moeilijk voorspelbare risico’s in de toekomst te beperken’, vindt DNB.
Afhankelijkheid bij kleine partijen directer
Toezichthouders zien bij zowel grote als kleine financiële instellingen een sterke afhankelijkheid van externe IT-leveranciers, vooral cloudaanbieders. Grote partijen hebben soms meer mogelijkheden om risico’s te spreiden over meerdere leveranciers, maar zijn voor kernsystemen vaak toch afhankelijk van één of enkele grote spelers. Kleine instellingen, waaronder veel vermogensbeheerders, kiezen meestal voor één primaire leverancier, omdat alternatieven vaak te duur of complex zijn. ‘Daardoor is hun afhankelijkheid vaak directer en hun onderhandelingspositie zwakker’, ziet DNB.
Het inschakelen van derden biedt schaalvoordelen maar daarbij blijven ze wel verantwoordelijk voor de maatregelen, dus een goed selectieproces en monitoring is essentieel, benadrukt de toezichthouder. ‘Hier zijn kosten aan verbonden, maar deze zijn beperkt vergeleken met het zelf inrichten van deze maatregelen.’
Regelgeving en toezicht
Concreet verwachten DNB en AFM dat partijen in de financiële sector ‘in control’ zijn over de (onder-)uitbestedingsrelaties. Onder de DORA-verordening moeten financiële instellingen een register bijhouden van al hun IT-leveranciers en onderaannemers. Toezichthouders gebruiken deze gegevens om te zien welke leveranciers pan-Europees veel worden gebruikt en dus concentratierisico’s vormen. Op basis daarvan kunnen zeer grote, kritieke IT-leveranciers onder een Europees toezichtregime geplaatst worden, stelt DNB.
DORA bevat al eisen over uitbesteding en ICT-wijzigingenbeheer. DNB zegt intensief toezicht te kunnen uitoefenen op belangrijke IT-leveranciers, maar de praktische uitvoering en impact op de relatie tussen afnemer en dienstverlener nog te moeten uitwerken. Bij aantoonbare gebreken stelt DNB een ‘cascade van maatregelen’ te kunnen nemen, maar wel pas nadat een instelling de kans heeft gekregen tekortkomingen te herstellen.
Daarnaast bevordert DNB het gebruik van encryptiesleutels en soevereine cloud-oplossingen, waarbij data en beheer onder Europese regelgeving vallen. ‘Welke keuzes instellingen ook maken, zij moeten altijd goed kunnen uitleggen hoe zij de veiligheid en soevereiniteit van hun data waarborgen’, aldus de toezichthouder.
Op korte termijn erkennen toezichthouders dat afhankelijkheid van niet-Europese IT-leveranciers een gegeven is. Belangrijk is dat instellingen voorbereid zijn op ontwrichtende scenario’s, zoals sancties of hybride aanvallen, door samenwerking, informatie-uitwisseling en ketentesten. ‘Waar mogelijk’ zeggen de AFM en DNB deze samenwerking te faciliteren.
Open standaarden, containerisatie (het bundelen van software) en meerdere leveranciers kunnen de afhankelijkheid verkleinen, al zijn deze oplossingen niet altijd eenvoudig of goedkoop.