In reactie op de digitalisering van de financiële sector heeft de Europese wetgever de Digital Operational Resilience Act (DORA) geïntroduceerd. Die blijkt ingrijpend te zijn. Vanaf 17 januari 2025 moet een brede waaier aan financiële entiteiten zich conformeren aan de verordening, dus is het van belang op tijd de juiste stappen te zetten.
Het tijdperk waarin financiële transacties voornamelijk face-to-face of telefonisch werden afgehandeld, behoort grotendeels tot het verleden. Door technologische vooruitgang en de opkomst van digitale platformen is de manier waarop de financiële sector zaken doet ingrijpend veranderd. Maar deze veranderingen brengen ook nieuwe uitdagingen en risico’s met zich mee.
In dat kader past de DORA-verordening. De verordening is sinds januari van dit jaar van kracht en geeft marktpartijen tot 17 januari 2025 de tijd zich voor te bereiden. DORA heeft als doel het versterken van de digitale operationele veerkracht van de financiële sector. Dit betekent concreet dat financiële entiteiten, waaronder beleggingsondernemingen en fondsbeheerders, meer taken en verantwoordelijkheden gaan krijgen om hun digitale infrastructuur en processen te beschermen tegen allerlei soorten IT-risico’s. DORA wordt nog nader uitgewerkt in 13 ‘technische standaarden’, waarvan de eerste reeks al in consultatie aan de markt is voorgelegd. De definitieve technische standaarden moeten uiterlijk op 17 januari 2024 zijn gepubliceerd.
Welnu, voordat DORA wordt afgedaan als de nieuwste bureaucratische hindernis in een sector die al bol staat van regelgeving, overweeg het volgende: in recente jaren hebben verschillende financiële entiteiten te maken gehad met ernstige cyberaanvallen. Deze incidenten hebben niet alleen geleid tot financiële verliezen, maar ook tot beschadigd vertrouwen bij klanten en investeerders. In dat licht bezien is DORA een proactieve maatregel die de financiële sector helpt dergelijke scenario’s in de toekomst te voorkomen.
DORA’s kernvereisten
De primaire doelstelling van DORA is dat financiële entiteiten hun ICT-risico’s beter beheersen, waardoor ze beter bestand zijn tegen cyberdreigingen. De drie kernelementen van de verordening zijn:
- Verbetering van eigen digitale weerbaarheid: Hierbij draait het om ICT-risicobeheer en voorbereiding op ICT-gerelateerde incidenten. Simpelweg vertrouwen op traditionele firewall- en antivirusmaatregelen en alleen reageren wanneer iets misgaat, volstaat niet meer. DORA eist dat financiële entiteiten een gedetailleerd ICT-risicobeheerkader opzetten, en dat goedkeuren en vastleggen op directieniveau. Hierin moeten beleidslijnen, ICT-procedures en protocollen worden opgenomen. Inclusief een zogeheten “IT-inventaris”, waarin jaarlijks alle door ICT ondersteunde bedrijfsfuncties geïdentificeerd, geclassificeerd en vastgelegd moeten worden.
- Beheer van ICT-risico’s bij derden: In de financiële sector is uitbesteding eerder regel dan uitzondering. Dit maakt financiële entiteiten in hoge mate afhankelijk van externe dienstverleners, variërend van cloudleveranciers tot software-ontwikkelaars. DORA verwacht van financiële entiteiten dat ze de risico’s identificeren en beheren die komen kijken bij het gebruik van deze externe ICT-diensten. Van organisaties wordt verwacht dat zij een informatieregister onderhouden van alle contractuele verbintenissen met ICT-leveranciers. Alvorens een contract aan te gaan met een ICT-dienstverlener, moeten financiële entiteiten bepaalde due diligence stappen volgen. Van belang voor de praktijk is dat DORA geen onderscheid maakt tussen nieuwe en bestaande contracten; alle contracten dienen per 17 januari 2025 aan de DORA-normen te voldoen.
- Governance & Organisatie: DORA schrijft voor dat de verantwoordelijkheid voor ICT-risicobeheer is belegd bij senior management binnen de organisatie. Wie is verantwoordelijk als een datalek optreedt? Wie monitort de ICT-risico’s? DORA bepaalt verder dat de eindverantwoordelijkheid voor ICT-risicobeheer ligt bij het directiebestuur. Leden van de directie worden tevens geacht zich regelmatig bij te scholen inzake ICT-risico’s.
Tijd voor actie
Voldoen aan DORA’s verordening zal voor veel organisaties een uitdaging zijn. Recentelijk heeft de AFM een aantal handvatten gepubliceerd waarmee financiële entiteiten zich op DORA kunnen voorbereiden:
- Gap Analyse: Begin met een evaluatie van de huidige staat van uw organisatie ten opzichte van de eisen van de verordening. Breng in kaart waar de tekortkomingen en risico’s liggen en identificeer welke systemen, processen en beleidslijnen moeten worden aangepast of geïntroduceerd.
- ICT-risicobeheer: Integreer ICT-risicomanagement binnen het algemene risicobeheersingskader van de organisatie. Hieronder valt het opzetten van monitoringssystemen, het beheren van back-ups, en het bepalen welke technologische tools de monitoring en risicobeperking kunnen verbeteren, alsook het verhogen van bewustzijn onder medewerkers.
- Testen, testen, testen: Zorg voor regelmatige tests van de nieuw ingerichte processen en controles. Gebruik penetratietests, scenario-analyses en andere evaluatiemethoden. De AFM moedigt financiële entiteiten aan om nu al te beginnen met het vormgeven van een op risico gebaseerd testprogramma.
- Beheer van ICT-risico van derde partijen: Dit is een uitdagend aspect van DORA. Begin met het in kaart brengen en evalueren van alle externe ICT-leveranciers. Welke waarborgen hebben zij op hun plek? Hoe passen zij in het eigen algehele risicoprofiel?
- Governance & organisatie: Er moet sprake zijn van een passende scheiding tussen de ICT-beheerfunctie, de controlefunctie en de auditfunctie in overeenstemming met het ‘Three Lines of Defense’-model. Verder zijn duidelijke rapportagelijnen essentieel en dient er een breed bewustzijn te zijn binnen de gehele organisatie over het belang van digitale weerbaarheid.
Digitale weerbaarheid als norm
In de afgelopen decennia zijn mechanismen opgebouwd om marktrisico’s, kredietrisico’s en operationele risico’s te beheersen. DORA biedt een kader voor de beheersing van een risico dat wellicht wat onderbelicht is gebleven: het digitale risico. DORA gaat verder dan het naleven van een nieuwe set regels; het gaat om het erkennen van het feit dat de integriteit en veiligheid van de digitale infrastructuur fundamenteel zijn voor de stabiliteit van de financiële markten. Voor financiële entiteiten is het nu de tijd om te handelen. Want in deze dynamische tijd is digitale weerbaarheid niet langer een optie, maar een norm.
Koen Poppe is advocaat bij Hart Advocaten, een van de kennispartners van Investment Officer. Hart Advocaten levert maandelijks een bijdrage.