Zoals besproken in onze eerdere artikelen over de Wet Digitale Operatie Weerbaarheid (DORA), stelt deze nieuwe regelgeving allerlei eisen aan de interne organisatie van financiële instellingen. Denk hierbij aan ICT-rollen en verantwoordelijkheden, de inrichting van ICT risk management en ICT incident management. Daarnaast zijn er regels voor het gebruik van ICT-leveranciers van derden.
Hiervoor bestonden al diverse wettelijke kaders, zoals de ESMA Cloud Outsourcing richtsnoeren of de EBA richtsnoeren met betrekking tot outsourcing. DORA brengt deze vereisten, en soms zelfs meer, samen in een hoofdstuk. In dit artikel duiken we verder in hoofdstuk V van DORA: Beheer van ICT-risico van derde aanbieders. Artikel 28 tot en met 44 DORA beschrijven deze regels met bijbehorende RTS-en die verdere details geven.
In het kort komt het beheren van de ICT-risico’s van derde aanbieders neer op een combinatie van risicobeheer en leveranciersmanagement. Bij het sluiten van een ICT-contract is het belangrijk om van tevoren de risico’s in kaart te brengen. Daarnaast is het van belang om een vastomlijnd proces ingericht te hebben om eenduidig en compliant nieuwe leveranciers te selecteren, en gedurende de contractperiode het kwaliteitsniveau van dienstverlening te monitoren. Voor deze verschillende fasen in het proces stelt DORA specifieke vereisten.
Het hoofdstuk start op het eerste gezicht met de algemene beginselen voor een degelijk beheer van het ICT-risico van derde aanbieders. Maar wanneer je het artikel leest, blijkt het eigenlijk vrij specifieke vereisten te bevatten.
Een belangrijk uitgangspunt is dat financiële instellingen zelf verantwoordelijk blijven voor de naleving van de verplichtingen uit DORA. Kortom: de regels die voor de instelling zelf gelden, gelden ook wanneer een proces of onderdeel daarvan wordt uitgevoerd door een derde partij. Dit is onder de huidige wetgeving al het geval, en ook in DORA wordt dit benadrukt.
Vaak zal het ICT-beheer ondergebracht zijn bij een derde partij. Voor veel financiële instellingen is ICT-beheer immers niet hun core business. Maar dit vrijwaart de instelling niet van het voldoen aan de regels en de verplichting om te controleren of deze derde partijen hier ook aan voldoen. Om die reden moet ICT-risico van derde aanbieders onderdeel zijn van het kader voor ICT-risicobeheer. Er moet een ‘strategie voor ICT-risico’s van derde aanbieders’ worden vastgesteld (en regelmatig herzien). In deze strategie kun je de gekozen werkwijze toelichten. Wordt er veel overgelaten aan derden of juist niet, en waarom? En hoe wordt het proces beheerd?
Een belangrijk uitgangspunt is dat financiële instellingen zelf verantwoordelijk blijven voor het naleven van de DORA verplichtingen.
Er mag bij het beheer van derde aanbieders rekening worden gehouden met het evenredigheidsbeginsel (zie art. 28 lid 1 sub b DORA). Het maakt dus uit hoe groot en complex de dienst is en of deze kritiek is voor de bedrijfsvoering.
Micro-ondernemingen en o.a. kleine niet-verweven beleggingsondernemingen*, zijn niet verplicht een strategie voor ICT-risico’s van derden op te stellen. De overige vereisten gelden wel voor hen.
Naast het hebben van een strategie inzake ICT-risico van derde aanbieders, gelden ook de volgende vereisten:
In de volgende paragrafen gaan we verder in op deze verplichtingen.
Voordat we verder kijken naar de verplichtingen, is het goed om te bekijken welke ICT-diensten bedoeld worden. In de definities van de wet (art. 3 sub 18-22 DORA) staan de begrippen uitgelegd:
In termen van de bedrijfsvoering van een financiële instelling, betekent dit dat alle overeenkomsten met externe partijen met betrekking tot ICT-systemen onder deze definitie vallen. Dit gaat om software, hardware, maar ook bijv. datacenter gebruik. Denk hierbij bijvoorbeeld aan CRM-software, laptopbeheer, software voor portefeuillebeheer, Microsoft 365 etc. Wanneer de instelling onderdeel uitmaakt van een groep, en een ander groepsonderdeel de ICT verzorgt, dan is dit ook een overeenkomst met een derde partij.
Nu we weten welke contracten onder de regelgeving vallen, is natuurlijk de vraag wat de gevolgen zijn voor deze contracten. De nieuwe regels die ingaan per januari 2025, gelden niet alleen voor nieuwe ICT-contracten maar ook voor de al bestaande contracten. Dat betekent dat financiële instellingen in de aanloop naar de inwerkingtreding van DORA hun bestaande contracten onder de loep moeten nemen en aanpassen waar nodig.
Waar de implementatie voor de overige verplichtingen vooral een interne aangelegenheid is voor een financiële entiteit, is hier ook medewerking nodig van de derde partij; de leverancier. Hoe meer contracten er zijn, hoe groter de impact. Mogelijk is dit daarmee een van de meest tijdrovende klussen van de DORA implementatie.
DORA stelt eisen aan de contracten, met extra verplichtingen voor de kritieke of belangrijke contracten. Deze eisen zijn niet allemaal nieuw, dus voor sommige contracten zal de impact beperkt zijn. DORA beschrijft:
Wanneer er een nieuw contract wordt gesloten, moet vooraf bijvoorbeeld rekening gehouden worden met verschillende punten:
Voordat een financiële instelling een nieuwe partner selecteert, is het dus van belang om grondig na te denken over de mogelijke risico's en deze zorgvuldig af te wegen. Een goed proces en vastlegging is hierbij van belang, al is het maar omdat er jaarlijks moet worden gerapporteerd over nieuw afgesloten ICT-contracten aan de toezichthouder (art. 28 lid 3 DORA).
Naast de vereisten die van toepassing zijn op het selectieproces, zijn er ook contractuele bepalingen die onderdeel moeten zijn van het contract. Zo wordt er een aantal situaties benoemd waarin het contract beëindigd moet kunnen worden (art. 28 lid 7 DORA), met daarbij voor de kritieke en belangrijke contracten ook nog eisen aan het beëindigingsproces.
In artikel 30 van DORA worden ook enkele essentiële contractuele bepalingen genoemd, waaronder een gedetailleerde beschrijving van de diensten, beschikbaarheid, incidentbeheer, auditrecht en uitbestedingsvoorwaarden. Lid 3 van dit artikel geeft extra voorschriften voor contracten met partijen die kritieke of belangrijke functies ondersteunen. Al met al is te zien dat de vereisten voor die laatste categorie logischerwijs steeds iets verder gaan dan voor de reguliere contracten.
De contracten moeten schriftelijk zijn vastgesteld en de rechten en plichten van beide partijen bevatten. Er moet één schriftelijk document zijn dat naast de overeenkomst ook het dienstverleningsniveau bevat, de Service Level Agreement (SLA). Daarnaast moet er een overzicht zijn van de contracten in het informatieregister.
Er is een ITS gepubliceerd waarin deze verplichting verder wordt beschreven. Daarnaast is een voorbeeldregister gepubliceerd dat gebruikt kan worden, en aangepast kan worden aan het risicoprofiel van de instelling. Toezichthouders kunnen dit register volledig of een deel daarvan opvragen ter inzage, met bijbehorende benodigde informatie (art. 28 lid 3 DORA).
Tot slot heeft de wetgever in DORA een slimmigheid opgenomen die ervoor zorgt dat niet alleen de financiële entiteiten weerbaarder worden, maar ook hun aanbieders. Dit wordt beschreven in art. 31 DORA. Waar de toezichthouder zich normaal gesproken slechts richten op financiële entiteiten met een vergunning, gaat zij zich nu ook richten op kritieke aanbieders.
Er worden aanbieders aangewezen die als kritiek voor de sector worden beschouwd. Wanneer dit overzicht gepubliceerd wordt is nog niet bekend. Er wordt een “lead overseer” opgericht die toezicht houdt op Europees niveau. Het gaat hier om de ICT-partijen die bijvoorbeeld de grootste banken ondersteunen en waar een grote afhankelijkheid van is voor het financiële systeem.
Nu januari 2025 dichterbij komt, is het van belang tijdig met dit onderwerp aan de slag te gaan. Zeker als een beoordeling van bestaande contracten nog plaats moet vinden. Een mogelijke aanpak kan zijn:
Heb je vragen over de implementatie van DORA vereisten binnen jouw organisatie, of kun je wel wat hulp gebruiken bij het beoordelen van bestaande contracten? Neem dan vrijblijvend contact met ons op.
Als je op de hoogte wilt blijven van de ontwikkelingen rondom DORA, kun je je aanmelden voor onze maandelijkse Risk & Compliance nieuwsbrief.
* Zie voor de volledige definitie van micro-onderneming art. 3 sub 60 DORA, en verdere uitzonderingen zie art. 16 lid 1 DORA.
