Omvangrijke wetgeving genaamd DORA komt op vermogensbeheerders af. Experts voorzien een grote administratieve last, met alle consequenties van dien.
In januari is de Digital Operational Resilience Act (DORA) in werking getreden. Ongeveer vijfhonderd financiële partijen die onder toezicht staan van AFM of DNB, vallen onder deze Europese regelgeving. Het gaat om banken, asset managers en vermogensbeheerders, maar ook bijvoorbeeld om AIFM-fondsen en tussenpersonen van verzekeraars. Voor bepaalde (kleine) partijen geldt in sommige gevallen een uitzondering of een lichtere versie van voorgeschreven regels.
In 2025 moet er een set van gedetailleerde regels zijn waar de beveiliging van netwerk- en informatiesystemen van deze spelers aan moet voldoen. Straks ligt vast hoe een beheerder zijn IT-management moet doen, hoe governance eruit ziet, welke procedures gelden en wat hij of zij moet doen in het geval van een cyber-aanval. De bedoeling van de regelgeving is immers om de digitale weerbaarheid van spelers op financiële markten te vergroten, nu het risico op cyberaanvallen steeds pregnanter wordt met de toenemende afhankelijkheid van financiële processen.
Komende zomer zullen de eerste drafts van de technische reguleringsnormen (RTS) naar buiten komen, waarin nadere invulling en details worden opgenomen ten aanzien van de wet. Naar verwachting gaat het om 19 tekstvoorstellen, wat wel iets zegt over de omvang van de regelgeving. Manager regulatory affairs Manouk Fles van branchevereniging DUFAS spreekt over ‘een groot dossier’. Advocaat Floortje Nagelkerke van Norton Rose Fulbright ziet het als ‘een groot project’ voor vermogensbeheerders.
Verstrekkende analyse
De verplichte taak voor financiële partijen is onder andere een analyse van de veiligheid per systeem en leverancier en van de waarborging van de continuïteit. ‘Als je bijvoorbeeld kijkt naar de impact van de EBA uitbestedings-richtsnoeren voor banken, gaat dit best ver’, zegt Manouk Fles (foto) van DUFAS. ‘Ik denk dat DORA echt een grote operationele en administratieve verplichting gaat zijn, en vervelende consequenties met zich mee kan brengen; denk aan providers die niet meewerken of hoge kosten in rekening gaan brengen.’
De branchevereniging heeft al in 2021 een expertgroep opgericht waarin vermogensbeheerders en asset managers kennis kunnen uitwisselen over DORA, maar merkt een toename van interesse na de publicatie van de wet-tekst eind vorig jaar. Ook al hóeven ze nu nog niets te doen, Fles, en ook advocaat Nagelkerke, adviseert financiële partijen om zich alvast voor te bereiden op het regelpakket. Niet in de laatste plaats omdat ook de AFM vermogensbeheerders aanmoedigt om alvast te beginnen met een inventarisatie van de systemen en derde partijen waarmee ze werken. Hoe afhankelijk ben je daarvan, welke gegevens worden verwerkt, hoe belangrijk zijn die?
Op dit moment is daarbij nog niet duidelijk hoe uitputtend de inventarisatie moet zijn, en hoever de keten strekt. Dat merkte Fles onlangs ook uit de vragen die vermogensbeheerders stelden tijdens een bijeenkomst van DUFAS’ expertgroep over DORA: Stel, ik gebruik een data centre, moet ik dan ook kijken naar de kabel waarover de data binnen komt? En moet ik de sub-uitbesteders van mijn cloud-provider ook in beeld brengen, of bijvoorbeeld mijn cateraar die werkt met een online kassasysteem?
Bovendien kan de uitvraag vervolgens ook voor hindernissen zorgen, met providers die niet voorbereid zijn op vragenlijsten en risico-inventarisatie, of de benodigde gegevens niet willen verstrekken. Fles: ‘Firma’s die veel werken met financiële partijen zullen het gewend zijn, anderen willen daar misschien geen tijd in steken. Moet je dan afscheid nemen? Of betaal je voor de extra tijd die je provider hierin steekt?’
Stand van zaken
De huidige stand van zaken is verschillend per speler, merken Fles en Nagelkerke. ‘Ik weet dat sommige partijen het goed op het netvlies hebben en ermee bezig zijn’, zegt Floortje Nagelkerke (foto), die voorbeelden kent van spelers die een groot projectteam hebben opgericht. ‘Maar zeker de middelgrote en kleinere spelers hebben het minder in het vizier én hebben minder mankracht. Dit soort partijen heeft vaak één IT’er in dienst of het volledig uitbesteed.’
Een belangrijk detail van de wetgeving is immers dat de verantwoordelijkheid voor de regelgeving nadrukkelijk bij het bestuur ligt. Van de bestuurder zelf zal dus ook worden verwacht dat hij of zij IT-kennis en -ervaring heeft. Fles: ‘Uiteindelijk is dat niet onlogisch. Ook als je je dienstverlening meer en meer digitaal maakt en uitbesteedt is het relevant dat je goede controle houdt en basiskennis hebt.’ Nagelkerke: ‘Lastig is wel dat sommige mensen DORA saai en technisch vinden. IT leeft minder dan bijvoorbeeld ESG, maar gaat net zo goed veel mensen aan.’
De AFM is dit jaar bezig met de implementatie van de DORA-wetgeving, maar ook met de voorbereiding op het toezicht ervan, zo schreef de instelling eerder dit jaar in haar agenda. Momenteel gaat dat om de organisatorische inrichting van het toezicht en de aanbesteding voor ondersteunende automatisering. Over niet al te lange tijd vervolgt de focus op het aansporen van instellingen om op tijd aan DORA te voldoen.
Een belangrijk doel van DORA en de AFM is volgens Nagelkerke om te bepalen welke ICT-dienstverleners een dikke vinger in de pap hebben, en deze onder toezicht stellen. ‘Om te zorgen dat de afhankelijkheid daar wat minder wordt. Als een paar partijen door veel vermogensbeheerders worden ingezet, is de afhankelijkheid daarvan groot. Stel dat die systemen uitvallen, dan is “iedereen” onthand. Het risico van cyberaanvallen bij een dergelijke partij is dan ook groter.’