“Zwieber niet stelen!”. Ik denk dat meeste lezers deze zin nog wel kennen uit het kinderprogramma ‘Dora’. De nieuwe DORA, oftewel de Digital Operational Resilience Act, heeft in zekere zin dezelfde strekking. Deze nieuwe Europese regelgeving beoogt binnen de Europese Unie, met een focus op de financiële sector, een hoog gemeenschappelijk niveau van digitale operationele weerbaarheid te bereiken. Om dit te bewerkstelligen volgen uit DORA uniforme vereisten omtrent de beveiliging van netwerk- en informatiesystemen die ter ondersteuning dienen van de bedrijfsprocessen van financiële ondernemingen.[1] De focus op de digitale operationele weerbaarheid komt niet geheel onverwachts. Criminelen – oftewel de ‘Zwiebers’ in dit verhaal – worden namelijk steeds beter in het aanvallen en misbruiken van digitale infrastructuur en gegevens.[2] Deze update zal eerst ingaan op het toepassingsgebied van DORA. Voorts worden alle vijf de pijlers toegelicht.
- Inwerkingtreding van de DORA
Op 16 januari 2023 is de DORA in werking getreden. De DORA bestaat uit een verordening en een richtlijn.[3] De verordening bevat de kern van de DORA en heeft rechtstreekse werking vanaf 17 januari 2025. Deze update zal zich dan ook richten op de verplichtingen uit de verordening. De richtlijn wijzigt bestaande toezichtrechtelijke regelgeving om deze in lijn te brengen met DORA. Deze dient voor de inwerkingtreding van de verordening geïmplementeerd te worden door de lidstaten.[4] De DORA bestaat uit vijf hoofdpijlers, ook wel pilaren genoemd: 1) ICT-risicobeheer, 2) ICT-gerelateerde incidenten, 3) testen van digitale operationele veerkracht, 4) beheer van ICT-risico van derde aanbieders en 5) informatie-uitwisseling.[5]
- Toepassingsgebied
Het toepassingsgebied van de DORA is erg breed. De DORA zal namelijk gaan gelden voor vrijwel alle gereguleerde financiële entiteiten binnen de Europese Unie. Hier vallen bijvoorbeeld banken, verzekeraars en cryptodienstverleners onder.[6] Deze brede toepassing komt voornamelijk tot uiting in artikel 2 sub u. Hier staat dat de DORA van toepassing is op ‘derde aanbieders van ICT-diensten’.[7]
De bovenstaande bepaling heeft vooral grote consequenties voor derde aanbieders van ICT-diensten die als ‘cruciaal’ worden bestempeld aan de hand van DORA. Deze komen onder rechtstreeks toezicht van de Europese financiële toezichthouders te staan. Dit zijn de European Banking Authority (“EBA”), European Securities and Market Authority (“ESMA”) en de European Insurance and Occupational Pension Authority (“EIOPA”).[8] Kort gezegd kan een ICT-dienst als ‘cruciaal’ worden bestempeld aan de hand van de volgende punten uit artikel 28 van de DORA:
- De systematische gevolgen voor de stabiliteit, continuïteit of kwaliteit van de verlening van financiële diensten ingeval de betrokken ICT-dienstverlener op grote schaal in gebreke zou blijven zijn diensten te verlenen;
- het systemische karakter of belang van de financiële entiteiten die afhankelijk zijn van de betrokken ICT-dienstverlener;
- de afhankelijkheid van financiële entiteiten met betrekking tot de diensten die de betrokken derde ICT-dienstverlener aanbiedt voor kritieke of belangrijke functies van financiële entiteiten waarbij uiteindelijk dezelfde derde ICT-dienstverlener betrokken is; en
- de mate van substitueerbaarheid van de externe ICT-dienstverlener.
- De vijf pilaren van DORA
Zoals eerder benoemd bestaat de DORA uit vijf pilaren, elke pilaar heeft een eigen focus.[9] Hieronder wordt elke hoofdpijler wat verder toegelicht met enkele implicaties voor de praktijk.
- 1. Pilaar I: ICT-risicobeheer
De DORA stelt eisen met betrekking tot het beheer van ICT-risico’s en het opstellen van een risicobeheerkader. De – erg ruime – definitie van ICT-risico is te vinden in artikel 3 van de DORA. Hieronder valt elke redelijkerwijs aan te wijzen omstandigheid met betrekking tot het gebruik van netwerk- en informatiesystemen die, wanneer zij zich voordoet, de 1) beveiliging van het ICT-systeem, 2) afhankelijke instrumenten of processen of 3) de levering van diensten in gevaar kan brengen.[10] Ondernemingen moeten adequate strategieën, beleidsdocumenten, procedures en protocollen opstellen om informatie, software en hardware te beschermen tegen ICT-risico’s.[11] Het risicobeheerkader dat hieruit voortvloeit moet solide, alomvattend en goed gedocumenteerd zijn. Deze moet hen in staat stellen ICT-risico’s snel, efficiënt en zo volledig mogelijk aan te pakken. Voorts een hoog niveau van digitale operationele veerkracht te waarborgen dat overeenstemt met de zakelijke behoeften, omvang en complexiteit van de financiële instelling.[12] De eindverantwoordelijkheid voor het beheer van deze risico’s ligt bij het leidinggevend orgaan. Wanneer één van de leden van dit orgaan de dagelijkse verantwoordelijkheid krijgt toegewezen betekent dit niet dat de rest zijn of haar ICT kennis niet up-to-date hoeft te houden. Zij worden namelijk niet ontslagen van de eindverantwoordelijkheid omtrent ICT-risico’s.[13]
- 2. Pilaar II: ICT-gerelateerde incidenten
Een financiële entiteit moet een beheerproces voor ICT-gerelateerde incidenten vaststellen en toepassen om dit soort incidenten te detecteren, beheren en te melden. Hiermee wordt een consistent en geïntegreerd mechanisme gecreëerd voor het beheren van ICT-gerelateerde incidenten. ICT-gerelateerde incidenten worden gedefinieerd als een onvoorzien geïdentificeerd voorval in de netwerk- en informatiesystemen. Dit voorval moet de beveiliging van netwerk- en informatiesystemen in gevaar brengen en een nadelig effect hebben op de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens of de door de financiële entiteit verleende diensten.[14] Een ICT-gerelateerd incident kan worden bestempeld als ernstig wanneer zich grote nadelige gevolgen voordoen voor systemen die de kritieke of belangrijke functies ondersteunen. Deze ernstige incidenten moeten worden gerapporteerd bij de bevoegde toezichthouder.
- 3. Pilaar III: Testen van digitale operationele veerkracht
Voor de beoordeling van de paraatheid ten opzichte van de ICT-gerelateerde incidenten moeten financiële entiteiten een uitgebreid testprogramma opstellen om de digitale operationele veerkracht te toetsen.[15] Deze operationele veerkracht houdt in dat entiteiten onder de DORA ervoor moeten zorgen dat zij bestand zijn tegen en kunnen reageren op alle soorten ICT-gerelateerde verstoringen en dreigingen. Tevens moeten zij in staat zijn om deze te kunnen herstellen.[16] Bij het opstellen van dit programma moeten zij rekening houden met de omvang en het bedrijfs- en risicoprofiel. Dit testprogramma omvat een reeks beoordelingen, tests, methodologieën, praktijken en instrumenten. Financiële entiteiten testen minstens eenmaal per jaar alle cruciale ICT-systemen en toepassingen.[17]
- 4. Pilaar IV: Beheer van ICT-risico van derde aanbieders
Het risicobeheerkader dat financiële entiteiten moeten hebben moet tevens de ICT-risico’s van derde aanbieders kunnen beheren. Bij het beheer van ICT-risico’s van derde aanbieders wordt rekening gehouden met het evenredigheidsbeginsel. Van belang zijn onder andere de schaal, complexiteit en het belang van ICT-gerelateerde afhankelijkheden. Essentieel hierbij is dat contracten die een relatie met een derde aanbieder regelen bepaalde elementen bevatten. Het gaat dan om onder andere de locaties waar gegevens worden verwerkt, alsmede een beschrijving van de diensten en garanties voor toegang, herstel en terugkeer in geval van storingen.[18]
- 5. Pilaar V: Informatie-uitwisseling
DORA roept een wettelijk kader in het leven voor het uitwisselen van cyberdreigingsinformatie. Dit sluit aan bij al bestaande verplichtingen zoals de Pensions Information Sharing and Analysis Center en het Payment Institutions Information Sharing & Analysis Centre.[19] Deze informatie-uitwisseling kan plaatsvinden wanneer deze tot doel heeft de operationele veerkracht te versterken, maar dit moet gebeuren binnen vertrouwensgemeenschappen van de financiële entiteiten. Daarbij moet er rekening worden gehouden met de potentieel gevoelige aard van de gedeelde informatie en gedragsregels waar partijen aan onderworpen kunnen zijn.[20]
- Conclusie
Het bovenstaande artikel heeft enkele nieuwe verplichtingen en wijzigingen onder de DORA samengevat, maar beslaat niet alle relevante wijzigingen. De DORA heeft gevolgen voor een grote groep partijen binnen de Europese Unie. Gelukkig is DORA vanaf 17 januari 2025 (pas) van toepassing. Wel raden verschillende adviseurs aan om al aan de slag te gaan met de toekomstige implementatie van DORA.[21] Zoals in dit artikel al naar voren komt kent de DORA veel definities en lange bepalingen. De komende tijd zullen de EBA, ESMA en EIOPA (samen vormen zij de Europese Toezichthoudende Autoriteiten, afgekort de ETA’s) hier invulling aan geven middels technische reguleringsnormen, beter bekend als Regulatory Technical Standards.[22] Laten we vooral hopen dat deze DORA vanaf 2025 ieders gegevens (nog beter) veilig houdt van de ‘Zwiebers’.
[1] Uiterwijk & Willems, ‘DORA – een Europees kader voor de beheersing van ICT-risico’s binnen de financiële sector’, Bb 2023/10.
[2] ORTEC Finance, ‘Wat betekent DORA voor risicomanagement van mijn pensioenfonds’, 12 december 2022 (www.ortecfinance.com).
[3] Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011; Richtlijn (EU) 2022/2556 van het Europees Parlement en de Raad van 14 december 2022 tot wijziging van de Richtlijnen 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 en (EU) 2016/2341.
[4] Uiterwijk & Willems, ‘DORA – een Europees kader voor de beheersing van ICT-risico’s binnen de financiële sector’, Bb 2023/10.
[5] ORTEC Finance, ‘Wat betekent DORA voor risicomanagement van mijn pensioenfonds’, 12 december 2022 (www.ortecfinance.com); deze pilaren blijken tevens uit de hoofdstukindeling van de verordening.
[6] Zie artikel 2 lid 1 DORA; Uiterwijk & Willems, ‘DORA – een Europees kader voor de beheersing van ICT-risico’s binnen de financiële sector’, Bb 2023/10.
[7] Houthoff, ‘DORA – the new framework for digital operational resilience in the financial services sector’, 16 januari 2023 (www.houthoff.com).
[8] Zie artikel 28 DORA; Uiterwijk & Willems, ‘DORA – een Europees kader voor de beheersing van ICT-risico’s binnen de financiële sector’, Bb 2023/10.
[9] Mazars, ‘Invoering Digital Operational Resilience Act (DORA)’, 22 september 2022 (www.mazars.nl).
[10] Zie artikel 3 onder 4 DORA; Finnius, ‘DORA – een nieuwe fase voor cybersecurity in de Euopese financiële sector’, 9 mei 2022 (www.finnius.com).
[11] Finnius, ‘DORA – een nieuwe fase voor cybersecurity in de Euopese financiële sector’, 9 mei 2022 (www.finnius.com).
[12] Zie artikel 5 lid 1 DORA.
[13] Uiterwijk & Willems, ‘DORA – een Europees kader voor de beheersing van ICT-risico’s binnen de financiële sector’, Bb 2023/10.
[14] Zie artikel 2 onder 6 DORA; Uiterwijk & Willems, ‘DORA – een Europees kader voor de beheersing van ICT-risico’s binnen de financiële sector’, Bb 2023/10.
[15] Zie artikel 21 DORA.
[16] Ministerie van Buitenlandse Zaken, EU versterkt digitale operationele weerbaarheid van de financiële sector’, 27 december 2022 (www.ecer.minbuza.nl).
[17] Zie artikel 21 DORA.
[18] Zie artikel 27 DORA; Houthoff, ‘DORA – the new framework for digital operational resilience in the financial services sector’, 16 januari 2023 (www.houthoff.com).
[19] Mazars, ‘Invoering Digital Operational Resilience Act (DORA)’, 22 september 2022 (www.mazars.nl).
[20] Zie artikel 40 DORA.
[21] Finnius, ‘DORA – een nieuwe fase voor cybersecurity in de Euopese financiële sector’, 9 mei 2022 (www.finnius.com); Charco & Dique, ‘DORA wordt van toepassing in 2025: rustig afwachten of tijd voor actie?’, 23 januari 2023 (www.charcoendique.nl).
[22] Charco & Dique, ‘DORA wordt van toepassing in 2025: rustig afwachten of tijd voor actie?’, 23 januari 2023 (www.charcoendique.nl).