Vrijwel iedere ouder van jonge kinderen zal zich ooit geconfronteerd zien met een vrolijk meisje dat onderzoekt, leert en problemen oplost: Dora the Explorer. Met hulp van haar vrienden (samenwerking) worden problemen opgelost door deze met logica aan te pakken. In de financiële wereld heeft DORA sins eind 2022 echter een hele nieuwe betekenis gekregen.
In december 2022 nam de Europese Unie de Digital Operation Resilience Act (DORA) aan. Met deze wet wil de Europese Unie de weerbaarheid van financiele instellingen voor verstoringen in de IT vergroten, gelet op het toenemende belang van IT en IT risico’s, zoals cyberaanvallen, in het financiële systeem.
De DORA wetgeving kent de onderstaande pilaren:
- IT risicobeheer
- IT-gerelateerde incidenten
- Testen van de digitale operationele veerkracht
- Beheer van IT-risico’s in de keten van uitbesteding
- Informatie-uitwisseling
Naar verwachting treedt de wet in het eerste kwartaal van 2023 in werking. Daarna krijgen instellingen nog twee jaar om aan de vereisten te voldoen. In die periode van twee jaar wordt ook de lagere regelgeving (technische reguleringsnormen) bekend.
Relevant voor iedereen
De DORA-wetgeving stelt dat iedere financiële instelling aan de genoemde pilaren moet voldoen. Niet alleen vermogensbeheerders, banken en verzekeraars, maar ook bijvoorbeeld pensioenfondsen. Voor vermogensbeheerders, banken en verzekeraars is normaalgesproken een volledige compliance vereist, maar op grond van het proportionaliteitsbeginsel kan het zo zijn dat pensioenfondsen, met een laag risicoprofiel, kunnen volstaan met een beperkte opzet van het risicomanagement en het testen van de weerbaarheid.
Het is aan DNB om nadere invulling te geven aan dit proportionaliteitsbeginsel voor Nederlandse instellingen. Wij verwachten echter dat bijvoorbeeld het melden van IT-incidenten en nader inzicht in de keten van uitbesteding voor iedereen zal gaan gelden, omdat dit aansluit bij bestaande guidance van DNB voor pensioenfondsen m.b.t. de keten van uitbesteding.
Praktische gevolgen
- Eigen compliance
Iedere financiële instelling zal zelf moeten voldoen aan de DORA-wetgeving. Iedere organisatie zal dus zelf ook moeten moeten bepalen in welke mate zij nu al voldoet en waar actie benodigd is. Want alhoewel iedereen twee jaar de tijd heeft om aan de wetgeving te voldoen, raden wij aan tijdig te beginnen. Een gap-analyse tussen de huidige situatie en de DORA-vereisten kan daarin een startpunt vormen. Ook het inzicht in de keten van uitbesteding is iets waar wij aanraden snel mee aan de slag te gaan, gelet op de afhankelijkheid van uitbestedingspartijen om informatie aan te leveren.
- Inzicht geven in de keten (compliance van klanten)
Pensioenfondsen en verzekeraars zullen als financiële instelling moeten voldoen aan de DORA-wetgeving. Voor financiële instellingen die andere instellingen als klant hebben, betekent dit dat zij voor hun klanten onderdeel van de keten van uitbesteding zijn. Bijvoorbeeld pensioenfondsen zullen via hun vermogensbeheerders en banken dus ook inzicht in de volledige keten van uitbesteding en de beheersing van IT-risico’s daarin willen krijgen. Dit vraagt om meer transparantie vanuit vermogensbeheerders en banken naar hun klanten.
- Inzicht geven voor potentiele klanten (RfP / due diligence)
Alhoewel uw klanten ook twee jaar de tijd hebben om compliant met DORA te worden, verwacht ik wel dat zij vooruitlopend daarop zekerheden willen inbouwen dat zij hieraan kunnen voldoen. In het Request-for-Proposal (RfP) en due diligence proces van dergelijke institutionele beleggers zien we de afgelopen jaren al een toename van de aandacht voor IT, maar met de komst van DORA verwacht ik dat zij reeds in de RfP of due diligence fase zullen uitvragen in hoeverre de potentiële vermogensbeheerder inzicht kan geven in de DORA-vereisten die voor de zoekende klant gelden en hoe zij opdrachtgevers faciliteren in het voldoen aan de wetgeving.
- Risicospreiding
Eén van de doelstellingen van de DORA-wetgeving en het inzicht in de keten is om concentratierisico’s naar bepaalde (IT) systemen te ontdekken en mogelijk zelfs systeemrisico’s. Wat als een specifieke dataleverancier, uitbestedingspartij of IT-systeem op enig moment niet beschikbaar is? En wat als via de keten van uitbesteding blijkt dat er, verdeeld over meerdere vermogensbeheerders, een concentratie is naar specifieke systemen? Vormt dat een extra risico vanuit IT risicobeheersing?
Ik verwacht dat met name grote institutionele partijen eventuele concentratierisico’s in onderuitbestedingen en/of IT systemen gaan meewegen in hun selectie van vermogensbeheerders. Dit zou met name in geldmarktfondsen, waarbij beschikbaarheid (dagelijkse liquiditeit) cruciaal is, kunnen leiden tot andere keuzes, om zo concentratie over specifieke systemen te mitigeren.
Conclusie
IT-risico’s en IT-risicobeheersing hebben een hoge aandacht van wetgevers en toezichthouders. Naast bestaande guidance van toezichthouders, zien we dat met de DORA-wetgeving iedere financiële instelling verplicht wordt inzicht te hebben in de keten van systemen. Als vermogensbeheerder betekent dit dus dat u IT-risico’s in uw uitbestedingketen inzichtelijk en beheerst moet hebben, maar ook inzicht daarover moet geven aan klanten die zelf een financiële instelling zijn. Ik verwacht dat zij in toenemende mate het kunnen voldoen aan DORA-wetgeving als selectiecriterium voor vermogensbeheerders zullen hanteren.
Om aan te sluiten bij de tijdslijnen van uw klant en om compliant te zijn met deze wetgeving, adviseer ik de gehele sector om snel aan de slag te gaan met de vereisten van DORA en hierbij samen te werken met uw klanten. Anders zou het zomaar kunnen dat u de komende tijd achter het net vist met nieuwe mandaten. Daarbij is het voor iedereen een belangrijke stap om het IT-landschap in de keten van uitbesteding in kaart te brengen: DORA-wetgeving maakt daarmee van iedere financiële instelling een explorer!
Edwin Massie is senior consultant Pensions & Insurance bij Ortec Finance, een wereldwijde leverancier van technologie en oplossingen voor het nemen van investeringsbeslissingen. Ortec Finance is één van de kennispartners van Investment Officer en schrijft maandelijks een bijdrage over uiteenlopende thema’s.