De Europese vereniging voor fondsen- en vermogensbeheer Efama heeft zich erg bezorgd uitgelaten over de voorgestelde technische reguleringsnormen en technische uitvoeringsnormen voor de Digital Operational Resilience Act, het cyberbeveiligingsplan dat bekend staat als Dora, en bekritiseert de maatregelen als buitensporig ruim en onevenredig.
In een reactie op de openbare raadpleging die door de Europese toezichthoudende autoriteiten is gestart, stelt Efama dat het proportionaliteitsbeginsel niet voldoende in Dora is opgenomen. De scope van de entiteiten die onder Dora vallen is enorm, variërend van krediet- en betalingsinstellingen tot verzekeringsmaatschappijen en vermogensbeheerders, elk met verschillende structuren, groottes en bedrijfsmodellen.
Efama stelt dat een ‘one size fits all’-benadering te belastend zal zijn, vooral voor vermogensbeheerders.
Genuanceerde aanpak nodig
‘Wij pleiten voor een genuanceerde aanpak die rekening houdt met de omvang, complexiteit en kritische eigenschappen van de systemen en functies van een entiteit’, zegt Zuzanna Bogusz, beleidsadviseur regelgeving bij Efama, in een verklaring. ‘Vooral bij ICT-risicobeheer hebben verschillende entiteiten verschillende risicobereidheid en -mogelijkheden.’
Efama bekritiseerde ook de complexiteit van de voorgestelde sjablonen voor contractuele afspraken voor ICT-diensten. Ze beweren dat de verplichting om deze registers bij te houden op zowel het niveau van de entiteit als op geconsolideerd niveau een onnodig en overbodig zijn. Dat is in tegenspraak met de basisnormen voor verantwoordingsplicht. Efama zette ook vraagtekens bij de beweegredenen om informatie over beëindigde contracten vijf jaar lang te bewaren en bij de opname van gevoelige, contractuele gegevens.
‘Informatie over externe ICT-dienstverleners zou efficiënter kunnen worden verstrekt door de dienstverleners zelf, in plaats van financiële entiteiten te belasten,’ zei Bogusz.
ICT-gerelateerde incidenten
Hoewel Efama de poging om duidelijkheid te brengen in de classificatie van ICT-gerelateerde incidenten waardeert, wijst het op gebreken in de voorgestelde methodologie. Het ontwerp verplicht tot voortdurende monitoring op basis van verschillende criteria, een praktijk die mogelijk niet effectief is bij het opsporen van grote incidenten en in plaats daarvan de focus zou kunnen verwateren door het aantal geïdentificeerde incidenten te verhogen.
‘Een hoog percentage incidenten dat als ‘groot’ wordt geclassificeerd, zou de focus op echt schadelijke bedreigingen in het gedrang brengen’, voegt Bogusz toe. ‘De sterke bureaucratie in de voorgestelde standaarden ondermijnt het doel van operationele veerkracht.’
Meer raadplegingen komende maanden
Verdere technische raadplegingen over Dora zullen naar verwachting in de komende maanden worden gestart door de toezichthouders. Efama stelt dat de consultatie een kans is om de focus te verleggen van bureaucratische procedures naar effectieve risicopreventie en snelle responsmechanismen.
‘In de vermogensbeheersector moet onze aandacht uitgaan naar preventie, detectie en een snelle reactie op bedreigingen, in plaats van overweldigd te worden door administratieve taken’, aldus Bogusz.
Voor financiële professionals geeft de kritiek van Efama belangrijke zorgen aan die niet alleen van invloed zouden kunnen zijn op vermogensbeheerders, maar op een breder scala aan entiteiten in de financiële sector als het huidige Dora-voorstel zonder significante herzieningen doorgaat.