DNB geeft handvatten in het kader van de voorbereiding op DORA

In een eerdere signalering hebben wij geschreven over een publicatie van de Autoriteit Financiële Markten ('AFM') waarin de financiële sector wordt opgeroepen zich voor te bereiden op de komst van de Digital Operational Resilience Act ('DORA'). In deze Insurance Regulatory Alert staat een recente publicatie van De Nederlandsche Bank (‘DNB’) met een soortgelijke oproep centraal.

DORA

DORA betreft Europese wetgeving die tot doel heeft de ICT- en cyberweerbaarheid van de financiële sector te verbeteren en te versterken. DORA bevat verplichtingen met betrekking tot onder meer ICT-risicomanagement, ICT-incidenten, de beheersing van risico’s bij uitbesteding aan derden en de uitwisseling van informatie. Vrijwel alle gereguleerde financiële ondernemingen worden geraakt door DORA, waaronder in ieder geval Solvency II-verzekeraars en herverzekeraars (niet zijnde verzekeraars met een beperkte risico-omvang). Voor verzekeringsadviseurs- en bemiddelaars, gevolmachtigd agenten en herverzekeringsbemiddelaars geldt dat zij uitsluitend onder het toepassingsbereik van DORA vallen voor zover zij niet als micro-, kleine of middelgrote ondernemingen (zoals nader gedefinieerd in DORA) kwalificeren.

DORA is per 17 januari 2023 in werking getreden, maar kent een implementatieperiode van 24 maanden. Dit betekent dat financiële ondernemingen die onderhevig zijn aan DORA tot 17 januari 2025 de tijd hebben om compliant te worden met DORA.

Tot op heden is uitsluitend de zogeheten ‘level 1-wetgeving’ onder DORA (bestaande uit een verordening en een richtlijn) in finale versie gepubliceerd. De onderliggende ‘level 2-wetgeving’ (zijnde de Regulatory Technical Standards en Implementing Technical Standards) is nog niet in definitieve versie beschikbaar. DNB benadrukt dat het feit dat de lagere level 2-wetgeving nog niet definitief is, geen belemmering zou moeten vormen om niet al voortvarend van start te gaan met de implementatie van DORA. De details en nadere uitwerking van de hoofdverplichtingen zoals neergelegd in de level 1-wetgeving van DORA zijn weliswaar vervat in de level 2-wetgeving, maar deze wetgeving zal volgens DNB geen nieuwe onderwerpen bevatten ten opzichte van de huidige level 1-wetgeving.

Praktische handvatten

In het kader van de voorbereiding op DORA geeft DNB een aantal praktische handvatten die financiële ondernemingen die onderhevig zullen zijn aan DORA reeds kunnen toepassen:

• Zorgen dat reeds voldaan wordt aan het huidige wettelijke kader op het gebied van ICT-management, door gebruikmaking van bestaande guidance vanuit DNB en de Europese toezichtsautoriteiten. In dit kader merken wij volledigheidshalve op dat DNB in haar publicatie aangeeft binnenkort een nieuwe versie van de ‘Good Practice informatiebeveiliging’ te publiceren.
• Het kennisgebied van bestuurders en interne toezichthouders met betrekking tot ICT-risicomanagement op een minimaal niveau brengen en actueel houden.
• Het evalueren van het huidige kennisniveau van bestuurders en interne toezichthouders met betrekking tot ICT-risicomanagement, alsmede het evalueren van reeds bestaande ICT gerelateerde documentatie en processen.
• Een gap-analyse uitvoeren (een vergelijking maken tussen reeds bestaande verplichtingen en nieuwe verplichtingen) op basis van de DORA level 1-wetgeving met een activiteitenplan. Deze gap-analyse kan later aangescherpt worden op basis van de definitieve lagere DORA-wetgeving.
• In gesprek gaan met ICT-serviceproviders over de aanscherping van wettelijke vereisten voor contractering, risicobeoordeling en monitoring.
• Afspraken maken met ICT-serviceproviders voor diensten die cruciaal zijn voor de financiële dienstverlening (de zogeheten ‘kritieke derde aanbieder van ICT-diensten’) over het verkrijgen van toereikende zogenoemde ‘assurance’ rapportages voor de gehele uitbestedingsketen.

De publicatie van DNB vindt u hier.

Contact

Wilt u meer weten over hoe uw onderneming zich het beste kan voorbereiden op de komst van DORA? Neem dan contact met ons op. Wij denken graag met u mee.