In de nadere uitwerking van de omvangrijke cyberbeveiligingswetgeving DORA ontbreekt het aan proportionaliteit. Op basis van het voorstel zouden álle software- en hardwarecategorieën moeten voldoen aan een lange eisenlijst en wekelijks gescand moeten worden op kwetsbaarheid. Bovendien is er geen onderscheid tussen verschillende soorten marktpartijen.
Dat is het belangrijkste bezwaar van branchevereniging Dufas tegen de in juni geconsulteerde uitwerking van wettekst DORA. Het gaat om de eerste van twee reeksen aan gedetailleerde regels en details van de ICT-wet die in 2025 ingevoerd wordt. Ook Europese branchevereniging Efama (waar Dufas lid van is) uitte deze week grote zorgen over de technische reguleringsnormen. De vereniging bekritiseert de maatregelen als ‘buitensporig breed en onevenredig’.
In de wettekst van de Digital Operational Resilience Act vermeldt de wetgever dat er ruimte is voor eigen invulling, deze principle based is. Maar de nader uitgewerkte technische standaarden blijken juist heel strikte eisen te stellen aan de beveiliging van netwerk- en informatiesystemen van marktpartijen als banken, asset managers en vermogensbeheerders.
Dufas heeft zich in haar reactie op de consultatie dan ook voornamelijk gericht op die proportionaliteit, blijkt uit de ingestuurde tekst en een toelichting daarop van Manouk Fles van de branchevereniging. ‘Die ontbreekt op veel vlakken.’
Veel verplichtingen in de technische standaarden hebben betrekking op ‘alle ICT-middelen’ concretiseert Dufas in haar op 11 september ingestuurde reactie. ‘Wij zijn er vast van overtuigd dat het niet in de geest van DORA is om alle ICT-activa of diensten die een IT-component bevatten, onder DORA te classificeren. Dat zou betekenen dat een cateraar die een kassasysteem gebruikt, of een koffiemachine die software bevat, binnen het toepassingsgebied zou vallen.’
Al deze systemen zouden dan bijvoorbeeld geanalyseerd moeten worden en wekelijks onderworpen aan een ‘vulnerability scanning’, legt Fles van Dufas uit. ‘Bij geen van deze vereisten, worden bepaalde apparaten en software concreet uitgesloten en wordt door “all ICT-assets” ook geen ruimte voor eigen interpretatie gegeven.’
Groot en klein
Een andere manier waarop de Europese toezichthoudende autoriteiten (de ESA’s) in hun voorstel voorbijgaan aan proportionaliteit wat Dufas betreft, is voor de verschillen tussen marktpartijen en de grootte en het risicoprofiel daarvan. Waar in de wettekst nog gesproken werd over een evenredigheidsbeginstel waarbij onder meer aard, omvang, complexiteit van diensten als maatstaf kunnen worden gebruikt, reppen de ESA’s in de nadere uitwerking enkel over omvang als maatstaf voor evenredigheid.
Daardoor zorgt de vertaling van de DORA-wettekst naar de implementatie voor eisen die strenger zijn dan nodig voor een vermogensbeheerder om een aanvaardbaar niveau van digitale operationele veerkracht te realiseren, schrijft Dufas in haar reactie. De branchevereniging pleit voor meer beoordelingsvrijheid voor de financiële instellingen die onder DORA vallen.
Efama
Net als Dufas stelde Efama dat het proportionaliteitsbeginsel niet voldoende in DORA is opgenomen. De Europese branchevereniging wees op de enorme reikwijdte van de entiteiten die onder DORA vallen, variërend van krediet- en betalingsinstellingen tot verzekeringsmaatschappijen en vermogensbeheerders, elk met verschillende structuren, groottes en bedrijfsmodellen. Efama stelde dat een “one size fits all”-benadering buitensporig belastend zal zijn, vooral voor vermogensbeheerders.
De eisen voor een grote bank zouden nu namelijk gelijk zijn als voor een kleine onafhankelijke vermogensbeheerder. Fles, van Dufas: ‘Natuurlijk hebben ze beide verplichtingen rondom klanten en data, maar niet iedere partij is even systeembelangrijk. De impact van een kleine vermogensbeheerder is kleiner dan die van een grote bank en kleine partijen sourcen vaak veel kennis in. Natuurlijk hebben die partijen kennis nodig van DORA, maar je kunt je afvragen of ze ál die dingen moeten doen die nu in de technische standaarden zijn opgenomen. Wellicht kunnen ze in sommige gevallen ook voldoen op basis van een assurance-rapport.’
Het voorstel om partijen groot en klein aan dezelfde eisen te onderwerpen is niet alleen contraproductief, zo stelt de Dufas, maar vraagt ook veel energiecapaciteit. ‘Is wel nagedacht over die milieu-impact?’, vraagt Fles zich hardop af.
Samen aanvliegen
De IT-wetgeving leeft erg onder Dufas-leden. Fles: ‘Vooral omdat level 1, de DORA-wettekst zelf, veel ruimte leek te geven voor interpretatie. Maar als het wordt zoals het nu is geconsulteerd, dan gaat het heel strikt worden, moeten veel partijen hun hele inrichting aanpassen en afspraken met leveranciers aanscherpen.’
Dufas-leden bekijken alvast of ze dit samen kunnen aanvliegen. Fles: ‘Denk aan een gezamenlijke opstelling van vragen richting leveranciers, zodat het voor hen ook niet nodeloos veel werk wordt. Alle marktpartijen moeten aan dezelfde verplichtingen voldoen.’