DORA-update: er is bij een aantal vermogensbeheerders digitale en operationele veerkracht nodig om aan DORA te voldoen voor 17 januari 2025, als de AFM en De Nederlandsche Bank beginnen met hun toezicht.
In ons vorige artikel voor Investment Officer kondigden we aan dat de Autoriteit Financiële Markten (AFM), met een update zou komen over ICT-gerelateerde incidenten voor de implementatie van de Digital Operational Resilience Act (DORA). Deze in juni gepubliceerde update geeft meer inzicht in het beheer van ICT-incidenten, de classificatie en registratie van ICT-incidenten en de melding van significante cyberdreigingen en ernstige ICT-incidenten. De volgende publicatie is gepland voor het derde kwartaal van dit jaar en zal betrekking hebben op het testen van digitale operationele veerkracht.
17 januari 2025 lijkt misschien nog ver weg, maar mogelijk moet een deel van de vermogensbeheerders nog veel werk verzetten om voor die datum aan DORA te voldoen, als de AFM en De Nederlansche Bank met hun toezicht beginnen. Sommige DORA-gerelateerde vereisten gelden al voor financiële ondernemingen op basis van bestaande wetgeving, maar bepaalde onderwerpen uit DORA zullen nog steeds veel aandacht, herziening en structurering vereisen.
Kortgezegd wijst de AFM op drie onderwerpen waar financiële ondernemingen nu al mee aan de slag kunnen, namelijk:
- Over het beheer van ICT-incidenten - het opzetten en implementeren van een beheer proces voor ICT-gerelateerde incidenten, artikel 17 van DORA. Opgemerkt wordt dat, volgens artikel 14 van DORA, het beleid dat nodig is voor de uitvoering van deze procedures een communicatiebeleid moet omvatten voor (interne) medewerkers, stakeholders en de media.
- Classificatie van ICT incidenten - het vaststellen en implementeren van procedures die de classificatie van incidenten beschrijven, artikel 18 van DORA waarvoor RTS zijn ingediend bij de Europese Commissie. Financiële ondernemingen zijn in beginsel vrij om hun eigen criteria voor de classificatie van incidenten vast te stellen, zolang hun beleid maar onderscheid maakt tussen grote ICT-incidenten, cyberdreigingen en andere incidenten zoals die met een lager of gemiddeld risico.
- Melding van ernstige ICT-gerelateerde incidenten en melding van significante cyberdreigingen, artikel 19/20 van DORA waarvoor de RTS en ITS uiterlijk op 17 juli 2024 worden voltooid. Bepaalde incidenten moeten verplicht gemeld worden, maar er is ook een mogelijkheid om incidenten op vrijwillige basis te melden. Vanaf 17 januari 2025 is het portaal van de AFM gereed voor het ontvangen van incidentmeldingen van onder toezicht van de AFM staande entiteiten.
Publicatie van wetteksten die het nieuwe AML/CFT-kader van de EU vormen: dit geeft de markt duidelijkheid over het tijdschema voor de uitvoering van onder toezicht staande entiteiten
Medio juli zijn verschillende verordeningen bekendgemaakt in het Publicatieblad van de EU:
- Verordening (EU) 2024/1620 tot oprichting van de Autoriteit voor de bestrijding van het witwassen en terrorismefinanciering (AMLA-verordening)
- Verordening (EU) 2024/1624 tot voorkoming van het gebruik van het financiële stelsel voor witwassen of terrorismefinanciering (AMLR) en Richtlijn (EU) 2024/1640, betreffende de mechanismen die de lidstaten moeten invoeren om het gebruik van het financiële stelsel voor witwassen of terrorismefinanciering te voorkomen (AMLD6).
Dit volgt op de belangrijke goedkeuring door het Europees Parlement eind april, van de resterende drie pijlers van het langverwachte AML/CFT-pakket (de AMLA-verordening, AMLD6 en de langverwachte AMLR), nadat eerder was vastgesteld dat de versnipperde aard van het AML/CFT-toezichtskader binnen de EU een groot obstakel vormt voor een doeltreffende aanpak van grensoverschrijdende AML/CFT-risico’s.
Daarom richt de EU zich op nieuwe en strengere regels tegen witwassen en terrorismefinanciering op haar grondgebied.
Het tijdschema voor de invoering is als volgt:
- de AMLA-verordening treedt in werking op 26 juni 2024 en wordt van toepassing op 1 juli 2025;
- de AMLR treedt in werking op 9 juli 2024 en wordt van toepassing op juli 2027 (met uitzondering van regels met betrekking tot bepaalde professionele voetbalclubs en voetbalmakelaars, die pas van toepassing zullen zijn vanaf 10 juli 2029); en
- AMLD6 is een richtlijn en moet uiterlijk op 10 juli 2027 door alle EU-lidstaten zijn geïmplementeerd. De regels met betrekking tot wijzigingen van Richtlijn (EU) 2015/849, ook bekend als AMLD4, moeten echter uiterlijk op 10 juli 2025 zijn ingevoerd en de regels met betrekking tot uiteindelijk begunstigden uiterlijk op 10 juli 2026. Regels omtrent centrale toegangspunt met betrekking tot vastgoed moeten uiterlijk op 10 juli 2029 zijn geïmplementeerd.
Wanneer dit allemaal is geïmplementeerd, moet de Europese Commissie uiterlijk op 10 juli 2032 een eerste verslag indienen bij het EU-parlement en de Europese Raad over de implementatie van AMLD6 en de toepassing van de AMLR. Zodra dit eerste verslag is ingediend, moet de Europese Commissie om de drie jaar opvolgende rapporten uitbrengen.
Conclusie
Zowel DORA als het nieuwe AML/CFT-raamwerk zullen vermogensbeheerders bezighouden met het actualiseren van hun interne procedures en het opstellen van passend beleid om te voldoen aan nieuwe wetgeving. Met name DORA heeft niet alleen invloed op de interne procedures, maar kan ook een substantiële due diligence eisen op bestaande overeenkomsten met IT-dienstverleners.
Als deze overeenkomsten moeten worden aangepast of vernieuwd, wordt het nog een uitdaging om dat allemaal voor elkaar te krijgen binnen het halve jaar dat marktpartijen rest, dus: beginnen. Hoe eerder hoe beter.
Jan Saalfrank is partner beleggingsfondsen van Pinsent Masons Luxemburg. Lous Vervuurt is advocaat bij Pinsent Masons en adviseert cliënten over financiële regelgeving en de naleving van anti-witwaswetgeving. Het advocatenkantoor is een kennispartner van Investment Officer.