Zoals besproken in onze eerdere artikelen over de Wet Digitale Operatie Weerbaarheid (DORA), stelt deze nieuwe regelgeving allerlei eisen aan de interne organisatie van financiële instellingen. Denk hierbij aan ICT-rollen en verantwoordelijkheden, de inrichting van ICT risk management en ICT incident management. Daarnaast zijn er regels voor het gebruik van ICT-leveranciers van derden.

ICT-risico’s van derde aanbieders beheren

Hiervoor bestonden al diverse wettelijke kaders, zoals de ESMA Cloud Outsourcing richtsnoeren of de EBA richtsnoeren met betrekking tot outsourcing. DORA brengt deze vereisten, en soms zelfs meer, samen in een hoofdstuk. In dit artikel duiken we verder in hoofdstuk V van DORA: Beheer van ICT-risico van derde aanbieders. Artikel 28 tot en met 44 DORA beschrijven deze regels met bijbehorende RTS-en die verdere details geven. 

In het kort komt het beheren van de ICT-risico’s van derde aanbieders neer op een combinatie van risicobeheer en leveranciersmanagement. Bij het sluiten van een ICT-contract is het belangrijk om van tevoren de risico’s in kaart te brengen. Daarnaast is het van belang om een vastomlijnd proces ingericht te hebben om eenduidig en compliant nieuwe leveranciers te selecteren, en gedurende de contractperiode het kwaliteitsniveau van dienstverlening te monitoren. Voor deze verschillende fasen in het proces stelt DORA specifieke vereisten.     

Algemene beginselen (art. 28 DORA)

Het hoofdstuk start op het eerste gezicht met de algemene beginselen voor een degelijk beheer van het ICT-risico van derde aanbieders. Maar wanneer je het artikel leest, blijkt het eigenlijk vrij specifieke vereisten te bevatten.  

Een belangrijk uitgangspunt is dat financiële instellingen zelf verantwoordelijk blijven voor de naleving van de verplichtingen uit DORA. Kortom: de regels die voor de instelling zelf gelden, gelden ook wanneer een proces of onderdeel daarvan wordt uitgevoerd door een derde partij. Dit is onder de huidige wetgeving al het geval, en ook in DORA wordt dit benadrukt.  

Vaak zal het ICT-beheer ondergebracht zijn bij een derde partij. Voor veel financiële instellingen is ICT-beheer immers niet hun core business. Maar dit vrijwaart de instelling niet van het voldoen aan de regels en de verplichting om te controleren of deze derde partijen hier ook aan voldoen. Om die reden moet ICT-risico van derde aanbieders onderdeel zijn van het kader voor ICT-risicobeheer. Er moet een ‘strategie voor ICT-risico’s van derde aanbieders’ worden vastgesteld (en regelmatig herzien). In deze strategie kun je de gekozen werkwijze toelichten. Wordt er veel overgelaten aan derden of juist niet, en waarom? En hoe wordt het proces beheerd?

Een belangrijk uitgangspunt is dat financiële instellingen zelf verantwoordelijk blijven voor het naleven van de DORA verplichtingen.

Er mag bij het beheer van derde aanbieders rekening worden gehouden met het evenredigheidsbeginsel (zie art. 28 lid 1 sub b DORA). Het maakt dus uit hoe groot en complex de dienst is en of deze kritiek is voor de bedrijfsvoering.

Micro-ondernemingen en o.a. kleine niet-verweven beleggingsondernemingen*, zijn niet verplicht een strategie voor ICT-risico’s van derden op te stellen. De overige vereisten gelden wel voor hen.

Naast het hebben van een strategie inzake ICT-risico van derde aanbieders, gelden ook de volgende vereisten:

  • De aanwezigheid van een informatieregister met betrekking tot alle contractuele overeenkomsten;
  • Een rapportageverplichting aan bevoegde autoriteiten over nieuwe overeenkomsten;
  • Een selectieproces dat rekening houdt met toezichtvoorwaarden, het in kaart brengen van relevante risico’s en uitvoeren van een due dilligence onderzoek;  
  • Een beoordeling van de aanwezigheid van diverse verplichte contractvereisten; en
  • Een (getest en geëvalueerd) exitplan bij ICT-diensten die kritieke of belangrijke functies ondersteunen.

In de volgende paragrafen gaan we verder in op deze verplichtingen.  

Voor welke ICT-diensten gelden deze vereisten 

Voordat we verder kijken naar de verplichtingen, is het goed om te bekijken welke ICT-diensten bedoeld worden. In de definities van de wet (art. 3 sub 18-22 DORA) staan de begrippen uitgelegd:  

  • ICT-risico van derde aanbieders: een ICT-risico dat voor een financiële entiteit kan ontstaan met betrekking tot het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten of door onderaannemers daarvan, onder meer via onderaanbestedingsovereenkomsten, worden verleend.  
  • ICT-dienstverlener: een onderneming die ICT-diensten verleent.
  • ICT-diensten: digitale en gegevensdiensten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden verleend, waaronder hardware als dienst en hardwarediensten, met inbegrip van het verlenen van technische ondersteuning via software- of firmware-updates door de hardwareaanbieder, met uitzondering van traditionele analoge telefoondiensten.
  • Kritieke of belangrijke functie:  een functie waarvan de verstoring wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit of aan de soliditeit of de continuïteit van haar diensten en activiteiten, of waarvan de beëindiging of gebrekkige of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en verplichtingen uit hoofde van haar vergunning of haar andere verplichtingen uit hoofde van het toepasselijke recht inzake financiële diensten.

In termen van de bedrijfsvoering van een financiële instelling, betekent dit dat alle overeenkomsten met externe partijen met betrekking tot ICT-systemen onder deze definitie vallen. Dit gaat om software, hardware, maar ook bijv. datacenter gebruik. Denk hierbij bijvoorbeeld aan CRM-software, laptopbeheer, software voor portefeuillebeheer, Microsoft 365 etc. Wanneer de instelling onderdeel uitmaakt van een groep, en een ander groepsonderdeel de ICT verzorgt, dan is dit ook een overeenkomst met een derde partij.  

Wat betekent dit voor ICT-contracten?  

Nu we weten welke contracten onder de regelgeving vallen, is natuurlijk de vraag wat de gevolgen zijn voor deze contracten. De nieuwe regels die ingaan per januari 2025, gelden niet alleen voor nieuwe ICT-contracten maar ook voor de al bestaande contracten. Dat betekent dat financiële instellingen in de aanloop naar de inwerkingtreding van DORA hun bestaande contracten onder de loep moeten nemen en aanpassen waar nodig.

Waar de implementatie voor de overige verplichtingen vooral een interne aangelegenheid is voor een financiële entiteit, is hier ook medewerking nodig van de derde partij; de leverancier. Hoe meer contracten er zijn, hoe groter de impact. Mogelijk is dit daarmee een van de meest tijdrovende klussen van de DORA implementatie.

DORA stelt eisen aan de contracten, met extra verplichtingen voor de kritieke of belangrijke contracten. Deze eisen zijn niet allemaal nieuw, dus voor sommige contracten zal de impact beperkt zijn. DORA beschrijft:  

  • Waar bij het sluiten van nieuwe contracten rekening mee moet worden gehouden.
  • Welke onderwerpen onderdeel moeten zijn van het contract.
  • Hoe de contracten vastgelegd moeten worden.  

Het sluiten van nieuwe ICT-contracten in lijn met DORA 

Wanneer er een nieuw contract wordt gesloten, moet vooraf bijvoorbeeld rekening gehouden worden met verschillende punten:

  • Er moet worden beoordeeld of het gaat om een kritieke of belangrijke functie, of de toezichtvoorwaarden onderdeel zijn van het contract en of er sprake kan zijn van een belangenconflict.  
  • Er moet een inschatting van de risico’s worden gemaakt en due dilligence uitgevoerd worden, zie art. 28 lid 4 DORA.  
  • Ook moet er bij het contracteren voor kritieke of belangrijke functies bepaald worden hoe afhankelijk de instelling wordt van de derde partij, en hoe gemakkelijk de derde partij vervangen kan worden (art. 29 DORA).  
  • Ten slotte moet de derde partij een passend niveau van informatiebeveiliging hebben.  

Voordat een financiële instelling een nieuwe partner selecteert, is het dus van belang om grondig na te denken over de mogelijke risico's en deze zorgvuldig af te wegen. Een goed proces en vastlegging is hierbij van belang, al is het maar omdat er jaarlijks moet worden gerapporteerd over nieuw afgesloten ICT-contracten aan de toezichthouder (art. 28 lid 3 DORA). 

Contractuele bepalingen

Naast de vereisten die van toepassing zijn op het selectieproces, zijn er ook contractuele bepalingen die onderdeel moeten zijn van het contract. Zo wordt er een aantal situaties benoemd waarin het contract beëindigd moet kunnen worden (art. 28 lid 7 DORA), met daarbij voor de kritieke en belangrijke contracten ook nog eisen aan het beëindigingsproces.  

In artikel 30 van DORA worden ook enkele essentiële contractuele bepalingen genoemd, waaronder een gedetailleerde beschrijving van de diensten, beschikbaarheid, incidentbeheer, auditrecht en uitbestedingsvoorwaarden. Lid 3 van dit artikel geeft extra voorschriften voor contracten met partijen die kritieke of belangrijke functies ondersteunen. Al met al is te zien dat de vereisten voor die laatste categorie logischerwijs steeds iets verder gaan dan voor de reguliere contracten.

Vastlegging van de contracten 

De contracten moeten schriftelijk zijn vastgesteld en de rechten en plichten van beide partijen bevatten. Er moet één schriftelijk document zijn dat naast de overeenkomst ook het dienstverleningsniveau bevat, de Service Level Agreement (SLA). Daarnaast moet er een overzicht zijn van de contracten in het informatieregister.   

Er is een ITS gepubliceerd waarin deze verplichting verder wordt beschreven. Daarnaast is een voorbeeldregister gepubliceerd dat gebruikt kan worden, en aangepast kan worden aan het risicoprofiel van de instelling. Toezichthouders kunnen dit register volledig of een deel daarvan opvragen ter inzage, met bijbehorende benodigde informatie (art. 28 lid 3 DORA).    

 

Toezicht op ‘kritieke aanbieders’

Tot slot heeft de wetgever in DORA een slimmigheid opgenomen die ervoor zorgt dat niet alleen de financiële entiteiten weerbaarder worden, maar ook hun aanbieders. Dit wordt beschreven in art. 31 DORA. Waar de toezichthouder zich normaal gesproken slechts richten op financiële entiteiten met een vergunning, gaat zij zich nu ook richten op kritieke aanbieders.  

Er worden aanbieders aangewezen die als kritiek voor de sector worden beschouwd. Wanneer dit overzicht gepubliceerd wordt is nog niet bekend. Er wordt een “lead overseer” opgericht die toezicht houdt op Europees niveau. Het gaat hier om de ICT-partijen die bijvoorbeeld de grootste banken ondersteunen en waar een grote afhankelijkheid van is voor het financiële systeem.  

Stappenplan voor ICT-risicobeheer van derde partijen  

Nu januari 2025 dichterbij komt, is het van belang tijdig met dit onderwerp aan de slag te gaan. Zeker als een beoordeling van bestaande contracten nog plaats moet vinden. Een mogelijke aanpak kan zijn:

Meer weten?

Heb je vragen over de implementatie van DORA vereisten binnen jouw organisatie, of kun je wel wat hulp gebruiken bij het beoordelen van bestaande contracten? Neem dan vrijblijvend contact met ons op.  

Als je op de hoogte wilt blijven van de ontwikkelingen rondom DORA, kun je je aanmelden voor onze maandelijkse Risk & Compliance nieuwsbrief.

* Zie voor de volledige definitie van micro-onderneming art. 3 sub 60 DORA, en verdere uitzonderingen zie art. 16 lid 1 DORA.