Het eerste kwartaal van 2024 is verstreken, wat betekent dat er nog minder dan negen maanden te gaan zijn voordat de Digital Operational Resilience Act (DORA) moet zijn geïmplementeerd.
DORA is van toepassing op de meeste financiële instellingen in de EU, met inbegrip van (icbe)-beheermaatschappijen, beheerders van alternatieve beleggingsinstellingen (abi-beheerders) en derde aanbieders van ICT-diensten (met inbegrip van aanbieders van cloudcomputingdiensten, software, gegevensanalysediensten en datacentra). Alle in-scope-entiteiten van DORA moeten op 17 januari 2025 digitaal en operationeel weerbaar zijn.
Van tijd tot tijd publiceert de Autoriteit Financiële Markten (AFM) updates, de laatste op 7 maart 2024. Deze update gaat over ICT-risicobeheer. De vorige twee updates hadden betrekking op “Goed voorbereid op DORA” en “Beheer van ICT-risico van derde-aanbieders. De volgende update, die in het tweede kwartaal van 2024 volgt, gaat over ICT-gerelateerde incidenten.
Wat betreft het beginnen met DORA (voor zover dat nog niet is gebeurd) schetst de AFM twee onderwerpen waar financiële instellingen mee aan de slag kunnen:
- DORA-artikelen 6 tot en met 14: (i) opstellen van een kader voor ICT-risicobeheer (ook met betrekking tot uitbesteding); en (ii) het controleren of voldaan wordt aan de vereisten van Business Continuity Management; en
- DORA artikel 15: ontwikkeling van beleid en procedures voor onder andere ICT-assets, netwerkbeveiliging en encryptie en cryptografie.
In Luxemburg heeft de Commission de Surveillance du Secteur Financier (CSSF) al veel regels ingevoerd met betrekking tot ICT en het beheer van veiligheidsrisico’s, zoals uiteengezet in de CSSF-circulaire CSSF 22/806 over uitbestedingsovereenkomsten of de circulaire CSSF 20/750 over vereisten met betrekking tot informatie- en communicatietechnologie (ICT) en het beheer van veiligheidsrisico’s. In 2023 hield de CSSF vanaf 3 april een enquête ter voorbereiding van de naleving bij bepaalde beheerders van beleggingsfondsen in Luxemburg, waarin werd gevraagd naar de vastgestelde lacunes en mitigatieplannen voor elke pijler van DORA. Deze enquête werd op 15 juni 2023 afgerond.
Op 5 januari 2024 publiceerde de CSSF eindelijk haar circulaire 24/847 over het rapportagekader voor ICT-gerelateerde incidenten en de bijbehorende FAQ, waarmee de reikwijdte voor aan de CSSF te melden ICT-incidenten, is uitgebreid. De circulaire zelf is bedoeld om circulaire CSSF 11/504 over fraude en incidenten als gevolg van externe computeraanvallen in te trekken en te vervangen. Entiteiten die onder het toepassingsgebied vallen, moeten ICT-gerelateerde incidenten classificeren op basis van de criteria die zijn aangegeven in circulaire 24/847 en grote of significante incidenten melden aan de CSSF.
Circulaire 24/847 is net in werking getreden op 1 april 2024 voor alle onder toezicht staande entiteiten en treedt op 1 juni 2024 in werking voor beheerders van abi‘s. Hieruit kan worden geconcludeerd dat de CSSF zich tot op zekere hoogte proactief heeft voorbereid op de aanstaande inwerkingtreding van DORA door toezicht te houden op de bereidheid van de Luxemburgse financiële instellingen om aan de vereisten van DORA te voldoen. Dit zal het concurrentievermogen en de aantrekkingskracht van de Luxemburgse markt verder vergroten.
Afgezien hiervan en van de tekst van DORA zelf, worden bepaalde onderwerpen uiteengezet in “regulatory technical standards” (RTS). Deze RTS worden momenteel vastgesteld. Op dit moment zijn de RTS voor artikel 15 van DORA (verdere harmonisatie van ICT-risicobeheersinstrumenten, -methoden, -processen en -beleidslijnen) en voor artikel 16 (Vereenvoudigd kader voor ICT risicobeheer) ingediend bij de Europese Commissie en kunnen dus nog worden gewijzigd (hoewel grote wijzigingen niet worden verwacht).
Wisselwerking tussen DORA, NIS2 en GDPR
DORA is geen op zichzelf staande verordening voor financiële instellingen binnen de EU-wetgeving. Men moet voorzichtig navigeren door een web van verschillende toepasselijke verordeningen en richtlijnen, waaronder voor financiële instellingen in ieder geval DORA, NIS2 (Network and Information Systems Directive) en de GDPR (Algemene Verordening Gegevensbescherming) van specifiek belang zijn om aan te voldoen.
Qua verschillen: NIS2 richt zich specifiek op cybersecurity in diverse sectoren, waaronder de financiële sector. DORA richt zich op de financiële sector op het gebied van digitale operationele weerbaarheid; de AVG is van toepassing in alle sectoren, specifiek voor de bescherming van persoonsgegevens.
DORA, NIS2 en GDPR hebben overlap, bijvoorbeeld voor risicobeheer waar NIS2 en DORA vereisten hebben voor robuust risicobeheer, zij het dat NIS2 zich specifiek richt op cyberbeveiliging en DORA op ICT en resilience. Een andere overlap is het melden van incidenten, die kunnen worden afgestemd om te werken voor zowel NIS2 als DORA. De bepalingen van de AVG bieden een algemeen kader dat moet worden gebruikt voor de naleving van NIS2 en DORA.
Een volledig begrip van de verschillende vereisten van NIS2, DORA en GDPR en alertheid op overlappingen en synergieën zullen financiële instellingen helpen bij het opzetten van hun interne compliance-organisatie, hun “operational resilience” en de naleving van bescherming van persoonsgegevens.
Ter afsluiting
Wat betreft de implementatie van DORA rijdt de trein richting de deadline op volle snelheid. Om zo goed mogelijk voorbereid te zijn op januari 2025, moeten entiteiten en externe dienstverleners uit de financiële sector eerst beoordelen of ze binnen het toepassingsgebied vallen.
Entiteiten die binnen het toepassingsgebied vallen, moeten vervolgens zo snel mogelijk hun ICT-beheerrisico’s en eventuele bestaande ICT-contractuele regelingen beoordelen. In dit verband moet ook specifieke aandacht worden besteed aan de overlappingen tussen DORA, NIS2 en GDPR om de verschillende werkstromen op elkaar af te stemmen en een maximaal niveau van naleving van de regelgeving te bereiken.
Jan Saalfrank is partner beleggingsfondsen van Pinsent Masons Luxemburg. Lous Vervuurt is advocaat bij Pinsent Masons Nederland en adviseert cliënten over financiële regelgeving en de naleving van anti-witwaswetgeving. Het advocatenkantoor is een kennispartner van Investment Officer.