Op 17 januari 2025 is de Digital Operational Resilience Act (DORA) in werking getreden. DORA introduceert doorlopende verplichtingen voor financiële entiteiten, zoals het bijhouden van informatieregisters, waarop de Autoriteit Financiële Markten (AFM) actief toezicht zal houden.
DORA is een EU-verordening die van toepassing is op financiële entiteiten zoals beleggingsondernemingen, fondsen, kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, aanbieders van crypto-activadiensten, verzekeringsondernemingen, verzekeringstussenpersonen en hun externe ICT-dienstverleners. DORA geldt voor alle EU-lidstaten en heeft tot doel de digitale operationele weerbaarheid van de financiële sector te vergroten.
Dit artikel geeft een samenvatting van het nieuwe ICT-risicobeheer dat DORA oplegt aan het leidinggevend orgaan van financiële entiteiten, zet uiteen hoe dit van invloed kan zijn op bestuurders en licht de risico's op mogelijke bestuurdersaansprakelijkheid toe.
Verantwoordelijkheden van het leidinggevend orgaan onder DORA
DORA introduceert nieuwe verplichtingen met betrekking tot ICT-risicobeheer, rapportage van ICT-gerelateerde incidenten, tests van de operationele weerbaarheid en uitbesteding. DORA wijst de verantwoordelijkheid voor het implementeren van alle regelingen met betrekking tot het ICT-risicobeheer specifiek toe aan het leidinggevend orgaan van een financiële entiteit. Hierdoor neemt het risico voor het leidinggevende orgaan om aansprakelijk te worden gesteld toe.
Onder DORA heeft een leidinggevend orgaan de volgende verplichtingen:
- Het ICT-risico beheren door beleid op te stellen dat hoge normen voor beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens garandeert;
- Duidelijke rollen en verantwoordelijkheden vaststellen voor alle ICT-gerelateerde functies, waaronder het instellen van passende governance en regelingen om effectieve en tijdige coördinatie tussen deze functies te garanderen;
- De algehele verantwoordelijkheid dragen voor het bepalen en goedkeuren van de strategie inzake digitale weerbaarheid;
- Goedkeuren, overzien en beoordelen van de implementatie van het ICT-bedrijfscontinuïteitsbeleid en de ICT-respons- en herstelplannen, en goedkeuren en beoordelen van de interne auditplannen, ICT-audits en materiële wijzigingen van de financiële entiteit;
- Budgetten vaststellen om te voldoen aan de behoeften van de financiële entiteit op het gebied van digitale operationele weerbaarheid;
- Het beleid van de financiële entiteit met betrekking tot afspraken over het gebruik van ICT-diensten geleverd door ICT-serviceproviders goedkeuren en beoordelen; en
- Interne rapportagekanalen opzetten die afspraken omvatten met externe ICT-dienstverleners en alle relevante geplande materiële wijzigingen doorvoeren met betrekking tot deze externe ICT-dienstverleners.
Daarnaast dient door de financiële entiteiten een persoon te worden aangesteld die verantwoordelijk is voor het monitoren van afspraken met externe ICT-dienstverleners. Dit omvat het toezicht houden op de blootstelling aan risico's en de overeenkomsten met dergelijke partijen. In de praktijk betekent dit vaak dat bestaande overeenkomsten tussen de financiële entiteit en haar externe ICT-dienstverleners moeten worden aangevuld met een addendum om ervoor te zorgen dat deze voldoen aan DORA.
Ten slotte, dienen de leden van het leidinggevend orgaan hun ICT-kennis en -vaardigheden up-to-date te houden zodat ze de ICT-risico's en de impact ervan op de activiteiten van de financiële entiteit goed kunnen beoordelen. De leden van het leidinggevend orgaan zullen ook regelmatig opleidingen moeten volgen. Dergelijke opleidingen moeten het leidinggevend orgaan in staat stellen om binnen de financiële entiteit een hoog niveau van digitale operationele weerbaarheid te handhaven en haar activiteiten en belanghebbenden te beschermen tegen digitale verstoringen.
Aansprakelijkheid van bestuurders naar Nederlands recht
Het leidinggevend orgaan, zoals gedefinieerd in de DORA, betekent voor Nederlandse vennootschappen doorgaans het bestuur. Het Burgerlijk Wetboek bepaalt dat het bestuur verantwoordelijk is voor het besturen van de vennootschap en daarbij handelt in het belang van de vennootschap. De bestuurders zijn gehouden tot een behoorlijke vervulling van hun taken en hebben een zorgplicht ten opzichte van de onderneming en de belanghebbenden van de onderneming.
Er kan een onderscheid worden gemaakt tussen aansprakelijkheid tegenover de vennootschap (interne aansprakelijkheid) en aansprakelijkheid tegenover derden (externe aansprakelijkheid). De wettelijke basis om het bestuur intern aansprakelijk te stellen is "wanbeleid". Om het gedrag van een bestuurder te kunnen kwalificeren als wanbeleid, moet sprake zijn van ernstige nalatigheid van de bestuurder, waarvoor een hoge drempel geldt.
Een belangrijke grondslag voor het vaststellen van externe aansprakelijkheid is onrechtmatige daad, waarvoor een vergelijkbare norm met hoge drempels geldt als voor interne aansprakelijkheid. Bij het onderbouwen van de onrechtmatigheid worden de open normen vaak aangevuld met soft law uit internationale verdragen. Wanneer de verantwoordelijkheden en verplichtingen van bestuurders specifieker worden, lijkt het makkelijker te worden om de bestuurders ter verantwoording te roepen en, in geval van niet-naleving, mogelijk aansprakelijk te stellen. We verwachten dat deze trend, die al is ingezet met rechtszaken tegen bestuurders op basis van ESG-richtlijnen en anti-witwasregelgeving, zich zal voortzetten. Deze verhoogde aansprakelijkheid kan zich ook uitstrekken tot de verplichtingen omtrent het kader voor ICT-risicobeheer.
Verantwoordelijkheid leidinggevend orgaan onder DORA
Als bestuurders hun verantwoordelijkheden en verplichtingen zoals uiteengezet in DORA niet nakomen, kan dit leiden tot een extra risico's op het gebied van bestuurdersaansprakelijkheid. Dit komt doordat DORA de verantwoordelijkheid voor de uitvoering van alle afspraken met betrekking tot het kader voor ICT-risicobeheer specifiek bij het leidinggevend orgaan legt. Belanghebbenden kunnen dit gebruiken om druk uit te oefenen op bestuurders van een financiële entiteit.
Zo kunnen ontevreden klanten (vaak consumenten) die getroffen worden door ICT-verstoringen overwegen om niet alleen juridische stappen te nemen tegen de vennootschap op basis van de bestaande contractuele relatie, maar ook tegen de bestuurders van de vennootschap op basis van onrechtmatige daad. Om onrechtmatige daad aan te voeren, kan niet-naleving door een bestuurder van verplichtingen uit DORA worden gebruikt om te beargumenteren dat een zorgplicht is geschonden door de bestuurder jegens de klant van de financiële entiteit met als doel persoonlijke aansprakelijkheid vast te stellen.
Daarnaast kunnen aandeelhouders van de vennootschap gebruikmaken van hun rechten in de algemene vergadering van de vennootschap om het bestuur te dwingen actie te ondernemen op het gebied van ICT-risicobeheer om te voldoen aan DORA. Zij kunnen dit bijvoorbeeld doen door punten op de agenda te plaatsen of hun stemrecht uit te oefenen (bijvoorbeeld wanneer het beloningsbeleid van bestuurders moet worden vastgesteld).
Handhaving door de AFM
Naast het mogelijke risico voor bestuurders om aansprakelijk te worden gesteld door derden, kan het niet nakomen van de verantwoordelijkheid voor implementatie van alle regelingen met betrekking tot ICT-risicobeheer leiden tot een boete die de AFM oplegt aan de financiële entiteit als overtreder. Daarnaast - of tegelijkertijd - kan de AFM persoonlijke boetes opleggen aan bestuurders. Hiervoor moet de bestuurder feitelijk leiding hebben gegeven aan de overtreding. Feitelijk leidinggeven kan actief zijn, maar ook passief. Dit is bijvoorbeeld het geval als de bestuurder op de hoogte is van een verboden gedraging, maar niet optreedt tegen de overtreding.
De AFM kan bestuurders ook persoonlijk aansprakelijk stellen op basis van onrechtmatige daad. Als zodanig dient de AFM bij het vaststellen van aansprakelijkheid aan dezelfde drempel te voldoen als iedere andere belanghebbende (zie 'Aansprakelijkheid van bestuurders naar Nederlands recht' hierboven). De AFM moet bewijzen dat er sprake is van ernstige nalatigheid van de bestuurder.
Uit jurisprudentie kan worden afgeleid dat de AFM bestuurders alleen onder specifieke omstandigheden aansprakelijk zal stellen op basis van onrechtmatige daad.
Aanbeveling voor de praktijk
DORA legt aanvullende verplichtingen op financiële entiteiten, waardoor het voor financiële entiteiten van cruciaal belang is om ervoor te zorgen dat ze goed voorbereid zijn om door het DORA-landschap te navigeren. Het is derhalve essentieel om DORA op de agenda te plaatsen , afspraken met externe ICT-dienstverleners te beoordelen, te zorgen voor adequate training voor het bestuur met betrekking tot ICT-risico's, en de informatieregisters bij te houden. Niet-naleving kan immers leiden tot verhoogde aansprakelijkheidsrisico's voor zowel de financiële entiteit als haar bestuurders.
