Edward Roozenburg: DORA, bent u al bijna klaar?

5 november 2024

Door Edward Roozenburg, Risk Management Consultant bij Probability & Partners

Met de naderende deadline voor DORA van 17 januari 2025 neemt de druk toe. Voor veel financiële instellingen is het een uitdaging om op tijd compliant te zijn. Wat maakt de implementatie van deze nuttige regelgeving gecompliceerd en waarop kan je je het beste richten als je in tijdnood komt?

Op het eerste gezicht is DORA een nuttige regeling die duidelijke eisen stelt aan het beheersen van ICT-risico’s van financiële instellingen. Rechttoe rechtaan opgesteld. Dat vond ik zelf tenminste toen ik de tekst voor de eerste keer onder ogen kreeg. Het is een wettekst ten aanzien van een aantal goed afgebakende onderwerpen met enkele duidelijke uitwerkingen vergezeld van templates. Sommige van deze templates zijn zelfs zo duidelijk, dat ze exact te kopiëren zijn voor een organisatie. Een kwestie van ‘knippen en plakken’. Maar helaas… de realiteit blijkt complexer dan gedacht. Wat maakt het nou eigenlijk complex voor de pensioenfondsen en ander financiële instellingen?

Absolute compliance

Ten eerste speelt de ervaren absoluutheid van compliance in zijn algemeenheid een rol. Een beetje compliant zijn bestaat niet. Je bent compliant, of je bent het niet. Tenminste, zo lijkt dat te worden ervaren. Op 17 januari moet alles geregeld zijn en de implementatie bewijsbaar. Die wens hebben de bestuurders. En dat dragen zij terecht uit naar hun medewerkers. Dit leidt tot verwarring in de uitvoering dat alles bewijsbaar in orde moet zijn.

De praktijk is wat genuanceerder. De compliance is vaak pas aantoonbaar na een periode van werking. En dat is op 17 januari voor een aantal zaken nog niet het geval. Het onderscheid tussen wat in werking moet zijn en wat alleen in opzet aanwezig hoeft te zijn op 17 januari, is niet in de wet aangegeven.

Denk bijvoorbeeld aan de rapportage van major incidenten aan de toezichthouder binnen vier uur na detectie. Je kan de procedure hiervoor klaar hebben, maar als je geen major incident hebt gehad voor 17 januari, dan weet je niet of deze procedure in praktijk werkt. En zo zijn er meer zaken waarvan de behoefte bestaat om het bewijsbaar geïmplementeerd te hebben, maar waarvan de werking pas in de loop van 2025 aanwezig zal zijn.

Afhankelijkheid van derden

Ten tweede speelt de afhankelijkheid van derden een belangrijke rol. Vrijwel alle pensioenfondsen die ik ken (en waarschijnlijk ook veel asset managers) moeten hun contracten met uitbestedingspartijen herzien. Er moeten aanvullende afspraken komen over het rapporteren van incidenten en over het rapporteren van de prestaties van de uitbestedingspartij als die nog niet uitgebreid genoeg zijn. Ook de exitstrategie mag niet ontbreken. Niet alle leveranciers zijn financiële instellingen die vallen onder de Europese wet. Mogelijk hebben ze helemaal geen zin om mee te werken omdat ze er zelf niet aan hoeven te voldoen.

Helderheid van de wetgeving

Ook problematisch is dat de wet soms heel specifiek is en op ander punten juist weer vaag. Bij het specifieke deel is het lastig omdat zaken exact geïmplementeerd moeten worden zoals de wetgever het wil. Er is weinig ruimte voor maatwerk. Dit terwijl het bij de vaagheden juist onduidelijk is wat de wetgever precies wil. Welke leveranciers (of welke processen) moeten bijvoorbeeld in het informatieregister het label ‘kritisch’ meekrijgen?

Het lijkt simpel. Er is sprake van data-uitwisseling, de service is 24/7 beschikbaar, en als die uitvalt, dan heeft de instelling een probleem. Maar is de bank dan ook kritisch? En als je nog steeds de pensioenen kan betalen en de beleggingen kan volgen als de kantoorautomatisering uitvalt, moet de leverancier van de kantoorautomatisering dan wel of niet het label ‘kritisch’ krijgen? De interpretatie van ‘kritisch’ kan wat variëren en hangt bovendien vooral af van de overige kenmerken van de financiële instelling.

Een ander voorbeeld van onduidelijkheid is het evenredigheidsbeginsel in artikel 4. Dit is beperkt uitgewerkt. Aan de hand van dit artikel kunnen instellingen zich erop beroepen dat bepaalde maatregelen buitenproportioneel zijn voor het soort organisatie. Maar wat daarmee precies wordt bedoeld en hoe dat kan worden toegepast, is onduidelijk in de praktijk.

DORA en de Wtp

Tot slot geldt speciaal in de pensioensector dat er ook rekening moet worden gehouden met de andere grote wet voor de pensioensector: De Wet toekomst pensioenen (Wtp). Vaak gaat de aandacht van bestuurders op dit moment uit naar het opstellen van implementatieplannen voor de Wtp. En ook de compliance met deze wet krijgt veel aandacht.

Het is niet altijd makkelijk om daarnaast nog de nodige bestuurlijke aandacht te geven aan DORA. En dat terwijl juist in DORA is aangegeven dat bestuurders een duidelijke betrokkenheid moeten krijgen in de beheersing van ICT-risico’s en het toezicht erop. Dit werkt ook door in de uitvoeringsniveaus van fondsen, want ook daar gaat de aandacht vooral uit naar waar het bestuur om vraagt. En dat is vooral de Wtp.

Niettemin moeten alle financiële instellingen compliant zijn op 17 januari 2025. Maar als je keuzes moet maken, en je valt onder het toezicht van DNB, richt dan de focus in elk geval op de gebieden waarvan DNB al heeft aangegeven dat hun aandacht ernaar zal uitgaan in het begin van 2025.

ICT-risicomanagement

DNB zal in elk geval focus hebben op het ICT-risicomanagement. Financiële instellingen moeten een robuust ICT-risicomanagementsysteem hebben dat in staat is om risico's te identificeren, te beoordelen en te beheersen. Dit systeem moet regelmatig worden bijgewerkt en getest om ervoor te zorgen dat het effectief blijft in een veranderende digitale omgeving. Zorg daarom dat documentatie over deze processen en het beleid op orde is en dat dit in 2025 uitvoerbaar is.

Een ander onderdeel dat DNB expliciet heeft benoemd, is de ICT-incidentenrapportage. Het is essentieel dat financiële instellingen een systeem hebben voor het rapporteren van ICT-incidenten. Dit systeem moet niet alleen incidenten registreren, maar ook de impact ervan analyseren en maatregelen voorstellen om herhaling te voorkomen. DNB zal specifiek letten op de tijdigheid en volledigheid van deze rapportages. Bovendien moet DNB ook geïnformeerd worden over major incidenten. En dat binnen vier uur na de bekendwording van het incident. Dus zorg dat dat mogelijk is.

Ook de kennis van ICT-risico’s in het bestuur heeft de aandacht van de toezichthouder. DNB benadrukt het belang van voldoende kennis en aandacht bij bestuurders en interne toezichthouders met betrekking tot ICT-risicomanagement. Het bestuur moet in staat zijn om strategische en tactische keuzes te maken op basis van een goed begrip van de belangrijkste IT- en cyberrisico’s. Zorg dat aantoonbaar is dat deze kennis in het bestuur belegd is.

Informatieregister

Ten slotte zal DNB het informatieregister opvragen. Onder DORA moeten financiële instellingen een informatieregister bijhouden voor alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten. Dit register helpt bij het monitoren van het ICT-risico van derde aanbieders. Het biedt niet alleen inzicht voor de financiële instelling zelf, maar vooral ook voor de toezichthouder. En dus zal de toezichthouder dit register waarschijnlijk in Q2 opvragen. Zorg dat het dan klaar is.

Natuurlijk is het de bedoeling dat alles van DORA tijdig is ingeregeld. Denk ook aan de relatie met de uitbestedingspartners en het testen van de digitale weerbaarheid met pentesten. Dit zijn binnen DORA zeker belangrijke zaken en hebben daarom dan ook een apart hoofdstuk in DORA.

Vaak kunnen de vereisten pas gedurende 2025 in de praktijk gebracht worden. Alle financiële instellingen zullen iets moeten doen aan het testen van hun digitale weerbaarheid, maar dat betekent niet per se dat op 17 januari de verbeteracties van de uitkomsten van de testen zijn geïmplementeerd. Doe de uitvoering dus wanneer dat nodig is. Ook dit geeft dus wat ruimte. En dat zonder afbreuk te doen aan de compliance.