Tijdschrift voor Financieel Recht 2023 nr. 5

Voorwoord

mr. drs. N. Lemmers Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.

DORA

 

Deze 'special' heeft een korte, krachtige en ook wat onheilspellende titel. Begin over DORA en een ieder heeft daar een beeld bij. In de financiële beroepspraktijk van advocaten, (bedrijfs)juristen en compliance officers volgt geregeld ook een wat emotionele reactie. Alhoewel de Digital Operational Resilience Act ("DORA"1 ) ogenschijnlijk alweer een omvangrijk wetgevingspakket is dat van hele teams binnen legal & compliance het uiterste gaat vergen, zal het veelal ook een impuls zijn ICT-beheersingssystemen verder te ontwikkelen en de organisatie weerbaarder te maken voor ICT-risico's. DORA is uniek door de invoering van een holistisch wetgevingskader om een zeer divers en per financiële onderneming anders vormgegeven digitaal ecosysteem te omvatten, maar voorziet wel in een zekere proportionaliteit.2 In hoeverre die proportionaliteit tot verlichting gaat leiden, is bij veel nieuwe vereisten nog ongewis en zal door implementatieregelgeving van de Europese toezichthouders vorm moeten krijgen. Hopelijk zonder afbreuk te doen aan dat holistische perspectief.

 

Omdat de nieuwe verordening ook eisen stelt aan zogenoemde 'cruciale derde partijen', die digitale informatiesystemen en -diensten leveren aan financiële ondernemingen, komen de gedragingen van ondernemingen buiten de financiële sector binnen het bereik van deze regelgeving en het toezicht op de naleving daarvan. Tel daarbij op dat de verordening ook spreekt over 'in een derde land gevestigde derde aanbieder van ICT-diensten', dan openbaart zich een internationale onderhandelingstafel met verschillende belangen. Enige verantwoordelijkheid nemen voor het invoeren of naleven van DORA-vereisten door buitenlandse entiteiten zal waarschijnlijk niet zonder slag of stoot gaan.

 

Bij de implementatie van DORA, zullen financiële ondernemingen een balans moeten vinden tussen het over- en onderschatten van de werklast. DORA vergelijkt zich nog niet met bijvoorbeeld de alles verzwelgende implementatie van MiFID-regelgeving, maar vergt tegelijkertijd meer dan het aflopen van een simple checklist en het uitvoeren van software updates. Daarbij zullen verschillende afdelingen binnen een organisatie aangehaakt moeten worden en middelen moeten worden vrijgemaakt. DORA maakt juist die verbinding tussen operationale aspecten en het naleven van financieel toezichtrecht. Zij dwingt daarmee tot een multi-disciplinaire aanpak.

 

De noodzaak om tijdig te starten met de voorbereidingen is evident. Met de voor deze zomer aangekondigde consultaties over concept-implementatieregelgeving voor de deur, trappen wij voor u af met deze DORA-special. Hiermee beogen de redactie en de auteurs zowel een inhoudelijke analyse te bieden van de verschillende onderwerpen die in DORA gereguleerd worden, als voorstellen te doen voor praktische invullingen van nieuwe vereisten.

 

In de eerste bijdrage introduceren Gijs Verschuuren en Tim de Wit de veelomvattendheid van DORA om daarna hun aandacht te richten op het ICT-risicobeheer en de informatiebeveiliging. Zij bespreken de impact op de governance van de organisatie. Hierbij richten zij zich met name op de wijze van verankering van het ICT-risicobeheer in het bestuur van een financiële onderneming en op de vormgeving daarvan verder in de organisatie. In dat kader wijzen zij op de noodzaak van het garanderen van een passende scheiding van ICT-beheerfuncties, controlefuncties en interne auditfuncties, overeenkomstig het Three Lines of Defense model. Ook benoemen zij het inregelen van de jaarlijkse identificatie en classificatie van alle door ICT ondersteunde bedrijfsfuncties en hun taken en afhankelijkheden met betrekking tot ICT-risico's. Daarbij vergelijken zij eveneens de vereisten uit DORA met de vorig jaar in de Verenigde Staten ingevoerde Cyber Incident Reporting for Critical Infrastructure Act. De Amerikaanse regelgeving heeft vooral betrekking op het rapporteren en delen van informatie en veel minder op governance en risicomanagement. De auteurs vinden het interessant om te zien welke impact DORA op de ontwikkelingen in de Verenigde Staten zal hebben, nu daar een andere insteek is gekozen. In geval van de Algemene Verordening Gegevensbescherming is er immers sprake van enige 'import' van de AVG-regels door de Verenigde Staten, hetgeen mogelijk ook met DORA zal gebeuren.

In de tweede bijdrage gaan Jan Broekhuizen en Laura Brederveld uitgebreid in op de systemische dimensies van DORA. Met de invoering van DORA vervlechten zich bredere doelstellingen van (ICT-)risicobeheer in belangrijke economische sectoren met de doelstellingen van financiële regulering. De nauwe onderlinge verwevenheid tussen de financiële sector en de bredere economie op het gebied van ICT-risicobeheer komt daarmee aan het licht en krijgt een eigen plek in het financiële (toezicht)recht. Zij bespreken daarbij eerst de begrippen 'ICT-risico' en 'ICT-diensten' en de uitwerking daarvan plaatsen zij in een breder perspectief. Zij staan stil bij het evenredigheidsbeginsel in DORA (de eerder aangehaalde proportionaliteit), dat daarmee ook het bevorderen van een gelijk speelveld en de ordentelijke werking van de financiële markten erkent. Een level playing field in termen van regulering vergt niet altijd dezelfde regels, maar soms ook asymmetrische regels voor financiële ondernemingen. Consistentie zit dan juist in het maatwerk, aldus de auteurs. Met het systemische perspectief als leidraad nemen zij de lezer vervolgens mee langs de kritieke en belangrijke functies in de betekenis van DORA. Zij wijzen daarbij op de verhoudingen tot Solvency II en BRRD, de nieuwe vereisten rondomhet testen van digitale operationele weerbaarheid en het nieuw geintroduceerde ICT-concentratierisico. Zij sluiten af met het analyseren van het Oversight Framework dat zeer vergaande consequenties zal hebben voor ICT-dienstverleners. Deze bijdrage biedt stof tot nadenken over de vele relaties in het financiële ecosysteem die door DORA worden geraakt en waar verschillende spelers in dat ecosysteem op zullen moeten acteren.

 

Een ander, tot op heden nog onderbelicht aspect is de werking van DORA in groepsverhoudingen. Financiële ondernemingen zijn dikwijls onderdeel van een groep rechtspersonen, al dan niet met vertakking buiten de landsgrenzen. Binnen zo'n groep is vaak sprake van het onderling delen en gecentraliseerd inkopen, onderhouden en monitoren van ICT. Thomas Hoeben en Thom Beenen onderzoeken in hun artikel hoe DORA van toepassing is op groepen van rechtspersonen of welke 'financiële entiteiten' mogelijk juist buiten de werkingssfeer vallen. Het geheel van regels is zeker niet evident. Zo wijzen zij op een mogelijke 'groepsvrijstellingendiscrepantie' tussen DORA en andere prudentiële wetgeving die nadelig kan zijn voor financiële ondernemingen daar waar het (minimum)kapitaalseisen betreft. Daarenboven blijken bepaalde definities in DORA volledig nieuw ten opzichte van bestaande definities in de Jaarrekeningrichtlijn. Aan de hand van een verhelderend stappenplan schetsen zij hoe men kan vaststellen of DORA van toepassing is op een groep om vervolgens dieper in te gaan op de intra-groep aspecten die daaruit voortvloeien. Net als de andere auteurs kunnen ook Hoeben en Beenen niet om het vraagstuk van proportionaliteit heen. Dat blijkt toch het kernelement van DORA waar iedere professional mee zal stoeien. Aan de hand van praktijkvoorbeelden geven zij een eerste indicatie van de wijze waarop een groep van financiële entiteiten de geboden proportionaliteit onder DORA kan interpreteren en toepassen.

 

Het sluitstuk van deze DORA-special komt van de hand van Pien van Vliet en vergelijkt DORA met de Europese EBA/EIOPA Guidelines over outsourcing. In haar artikel onderzoekt Van Vliet de nieuwe verplichtingen voor financiële ondernemingen, in het bijzonder banken en verzekeraars, bij het inschakelen van een derde voor het verlenen van ICT-diensten en hoe die zich verhouden tot het huidige juridische kader. Op dit moment bestaat immers geen specifieke wettelijke verplichting die ziet op ICT-diensten, maar volgt het juridisch kader uit de wettelijke vereisten en regulatory guidance die van toepassing is op uitbesteding (outsourcing) door financiële ondernemingen. Door verschillende vragen rondom outsourcing van ICT-diensten te bespreken, komt het spanningsveld tussen het voldoen aan DORA-verplichtingen, (wederom) het proportionaliteitsbeginsel, de afhankelijkheid ten opzichte van ICT-dienstverleners en de problematiek die dat vervolgens oplevert, duidelijk naar voren. Waar voor banken en verzekeraars de onduidelijkheid vooral zal zitten in de overlap tussen DORA en huidige regulatory guidance en de proportionele toepassing, zal het voor financiële ondernemingen die nog niet aan een uitgebreid uitbestedingskader zijn onderworpen vooral een ontnuchterende analyse blijken te zijn. Zij zullen geheel nieuwe procedures en standaarden moeten invoeren, aldus de auteur. Een gewaarschuwde lezer telt voor twee, zullen we maar zeggen.

 

De redactie van deze DORA-special dankt de auteurs voor hun bijdrage en wenst u veel leesplezier toe!

Deel deze pagina:

Nog niet beoordeeld

Bijlage(n)

Artikel informatie

Type
Overig
Auteurs
mr. drs. N. Lemmers
Auteursvermelding
Ik ben auteur van dit artikel
Datum artikel
Uniek Den Hollander publicatienummer
UDH:FR/17689

Verder in 2023 nr.5

 Voorwoord

DORA   Deze 'special' heeft een korte, krachtige en ook wat onheilspellende titel. Begin over DORA en een ieder heeft daar een beeld bij. In de financiële beroepspraktijk van advocaten,...

 ICT-risicobeheer met DORA

Op 17 januari 2025 treedt de Digital Operational Resilience[2] Act ("DORA" of "Verordening")[3] voor de financiële sector in werking. DORA is een Europese Verordening en gaat kort gezegd over infor...

 Systemische dimensies van de regulering van ICT-risico's in de Digital Operational Resilience Act (DORA)

Met de invoering van DORA vervlechten zich bredere doelstellingen van (ICT-)risicobeheer in belangrijke economische sectoren met de doelstellingen van financiële regulering. Hierdoor wordt de ...

 DORA's intragroep aspecten

Toenemende afhankelijkheid van ICT[2] en grotere cyberdreigingen verhogen het risico op ICT-incidenten. Deze hebben een potentieel grote impact op zowel individuele (klanten van) finan...

 DORA en outsourcing – een vergelijking tussen DORA en de EBA/EIOPA Guidelines

DORA introduceert specifieke regels omtrent het inschakelen van een derde voor het verlenen van een ICT-dienst. Nu is er nog geen specifieke wettelijke verplichting, die ziet op het verlenen van ee...