Edward Roozenburg: Uitzonderingen op registratie onderuitbesteders in DORA?

17 december 2024

Door Edward Roozenburg, Risk Management Consultant bij Probability & Partners

Heeft uw financiële instelling al bepaald welke processen belangrijk of kritiek zijn?

De meesten van u zullen inmiddels weten dat dit bepaald moet worden om te kunnen voldoen aan de Digital Operational Resilience Act (DORA) waar alle Europese financiële instellingen vanaf 17 januari 2025 aan moeten voldoen. Ook weet u waarschijnlijk dat de keuze welke processen kritiek of belangrijk zijn, niet vrijblijvend is. Want in DORA is aangegeven dat voor de leveranciers die diensten leveren voor kritieke of belangrijke processen ook de onderuitbesteders in kaart moeten worden gebracht.

In het Informatieregister moet de financiële instelling alle ICT-leveranciers opnemen inclusief de onderuitbesteders bij uitbestedingen voor kritieke of belangrijke processen. DNB heeft aangegeven dit register bij alle instellingen in het tweede kwartaal 2025 op te zullen vragen. AFM doet dit al eind eerste kwartaal.

Het opzetten van het Informatieregister en vooral het inventariseren van onderuitbesteders kan een behoorlijke klus zijn. Grote partijen die diensten leveren voor kritieke of belangrijke processen bij financiële instellingen, hebben soms zélf niet eens inzichtelijk welke onderuitbesteders ze precies hebben. Laat staan dat ze dat hun opdrachtgevers kunnen laten weten. Als de pensioenfondsen waar ik werk hun ICT-leveranciers vragen om de lijst van onderuitbesteders, stuiten ze dan ook regelmatig op onbegrip, verbazing en soms zelfs iets wat op ontwijking lijkt.

Sectorbreed inzicht

Maar het verzamelen van al deze informatie is niet voor niks. Met het Informatieregister krijgt de toezichthouder een sectorbreed inzicht in de leveranciers van de financiële sector. Met dat inzicht kan worden bepaald welke van deze leveranciers essentieel zijn voor de financiële instellingen om hun diensten te kunnen blijven verlenen. Of met andere woorden: welke leveranciers essentieel zijn voor de digitale operationele weerbaarheid van ons allen.

Met het inzicht in de meest essentiële leveranciers voor de financiële sector kan de toezichthouder bepaalde nadrukken leggen in het toezicht en druk uitoefenen om te zorgen dat er waar nodig extra beheersmaatregelen worden getroffen door financiële instellingen.

Zoals gezegd is het voor de fondsen waar ik voor werk best een klus om het overzicht van onderuitbesteders volledig te krijgen. Ga er maar aan staan: als klein pensioenfonds even aan Microsoft vragen welke onderuitbesteders ze allemaal hebben.

Uitzondering

Recent viel mijn oog op een mogelijke uitzondering op het inventariseren van de onderuitbesteders. Dit was in een presentatie van DNB. Het ging om een voorstel dat voorligt bij de Europese Commissie. Voor leveranciers die een dienst leveren waarvoor een vergunning nodig is (denk bijvoorbeeld aan een bank of een asset manager), zou een uitzondering kunnen gaan gelden op de verplichting om hun onderuitbesteders te registreren in het Informatieregister. Dat geldt dus voor alle de dienstverleners die onder toezicht staan.

Het leek mij een heel mooi voorstel. Leveranciers van vergunde diensten staan al onder streng toezicht en moeten al voldoen aan hoge standaarden van veiligheid en betrouwbaarheid. De registratie van deze onderuitbesteders zou daarom ook wat mij betreft overbodig zijn. We kunnen de tijd beter gebruiken om te werken aan andere zaken ter versterking van de digitale weerbaarheid.

Buiten Europese toezicht

Mijn blijdschap bleef maar kort. Vrijwel meteen vroeg een collega mij hoe dat dan precies zat met leveranciers die onder toezicht staan van niet-Europese autoriteiten. Want dat was het geval bij één van de fondsen waar ik werk.

Het is natuurlijk maar de vraag of de toezichthouders in bijvoorbeeld de Verenigde Staten er even strenge standaarden op nahouden als Europese toezichthouders met de DORA in de hand. Moesten we dan per land gaan bekijken of er verschillen waren in de normen die de toezichthouders hanteren voor al onze diensten die we buiten Europa afnemen? Dat gaat veel tijd kosten. Ik had er even geen antwoord op.

Maar niet alleen mijn collega had wat scepsis. Ook de Europese toezichthouders (EBA, EIOPA en ESMA) hebben hun bezwaren tegen deze uitzondering duidelijk gemaakt. Hun belangrijkste argumenten zijn gericht op de afbreuk die wordt gedaan aan de met het Informatieregister beoogde transparantie. Als het register niet volledig is, dan kan je ook niet goed bepalen welke leveranciers echt kritisch zijn. En daarmee wordt goed risicobeheer ondermijnd.

Daar komt bij dat door vergunde diensten uit te sluiten, er een ongelijk speelveld kan ontstaan tussen vergunde en niet-vergunde dienstverleners. De voorkeur van financiële instellingen zou dan immers makkelijk kunnen gaan naar de vergunde dienst.

Hoewel ik vind dat de argumenten voor de uitzondering begrijpelijk zijn, wegen wat mij betreft de bezwaren van de toezichthouders zwaarder. Transparantie en consistentie zijn in dit geval ontzettend belangrijk voor de stabiliteit van het financiële systeem. Deze uitzonderingen kunnen leiden tot een leemte in de informatievoorziening. En daarmee kan niet meer goed bepaald worden welke dienstverleners een essentiële rol hebben in de financiële sector.

Daarom is het belangrijk om vast te houden aan de oorspronkelijke eisen van DORA, inclusief de registratie van onderuitbesteders. Voor alle relevante partijen ongeacht de vergunning. Want dat beschermt de financiële sector, en dus ons allen, tegen de dreigingen in de digitale wereld. Daar is alle aanleiding toe. Ook gezien de geopolitieke situatie moeten we voorbereid zijn op een oorlog. Een cyberoorlog kan de financiële instellingen platleggen. Digitale strestesten bij banken lieten eerder dit jaar ook al zien dat er wat te verbeteren valt. We zullen het dus écht goed moeten doen.