De Digital Operational Resilience Act (DORA) van de EU nadert de eindstreep. Dit zal aanzienlijke gevolgen hebben voor bedrijven in de financiële dienstverlening. We gaan dieper in op de belangrijkste aspecten van de verordening (bv. incidentrespons, beheer van cyber risico's, enz.) en voorzien in acties zonder spijt.
Door Hugo Atzema en Noah Brandwijk
Dit artikel is geschreven in samenwerking met Deloitte's EMEA Centre for Regulatory Strategy en hun uitgebreide analyse is hier gepubliceerd.
De DORA stelt de vereisten vast voor FS-bedrijven in de EU voor cyber-/ICT-risicobeheer, incidentrapportage, weerbaarheidstests en uitbesteding door derden. Bovendien stelt het FS-toezichthouders in staat toezicht te houden op kritieke ICT-derde aanbieders (CTTP's).
Als onderdeel van het Europese Fit for a Digital Age-programma zal de DORA bijdragen aan de digitale transformatie van Europa door de regelgeving voor de bovengenoemde sectoren in de EU te harmoniseren. Het Europees Parlement (EP) en de Europese Raad zijn onderhandelingen ("trialogen") begonnen, de laatste stap voordat DORA als wet kan worden aangenomen. Deze besprekingen, die de standpunten van de instellingen op één lijn moeten brengen, zullen naar verwachting medio 2022 worden afgerond.
Het EP en de Raad willen een algemene uitvoeringstermijn van 24 maanden toekennen. Er is echter onenigheid over het tijdschema voor de uitvoering van de vereisten voor het testen van de veerkracht (het EP vraagt om een periode van 36 maanden, de Raad voorstander van 24 maanden). Wij zijn van mening dat bedrijven moeten uitgaan van een implementatieperiode van 24 maanden voor alle vereisten van de DORA, die loopt van H2 2022 tot H2 2024.
We zien een aantal belangrijke punten uit onze analyse van waar de Raad en het EP op één lijn zitten over de DORA, en waar ze verschillen. Dit zijn:
Het DORA-pakket delegeert een aanzienlijke beslissingsbevoegdheid aan de ETA's. RTS'en zullen cruciaal zijn om het volledige spectrum van vereisten te begrijpen waarmee bedrijven te maken krijgen van de DORA.
De ETA's zullen pas beginnen met het opstellen van deze RTS'en zodra de DORA later dit jaar is afgerond, en de tijdlijnen voor secundaire regelgeving variëren. De duidelijkheid voor bedrijven zal beperkt zijn terwijl ze zich voorbereiden op de implementatie van DORA en de voltooiing van RTS's. Bedrijven moeten dus beoordelen en vaststellen welke no-regret-acties ze kunnen ondernemen om zich voor te bereiden op de nieuwe regels. Dit is belangrijk omdat de ETA's later een aantal technische regels inzake het melden van incidenten en ICT-risicobeheer zullen invoeren.
Onze ervaring is dat de voorbereiding op de eerste implementatie van de nieuwe regels meer tijd en middelen heeft gekost dan veel bedrijven hadden verwacht; daarom moeten de maatregelen die nu moeten worden genomen, worden geïdentificeerd.
Naar onze mening zijn er verschillende "no regret"-acties die bedrijven zouden moeten overwegen:
DORA is op weg naar afronding. Bedrijven moeten zich bewust zijn van de implementatie-uitdagingen die zich voor de periode van twee jaar zullen voordoen. Bedrijven kunnen voorop blijven lopen door een proactieve aanpak te volgen om een realistisch en haalbaar implementatieplan te ontwikkelen.
[ii] Aangezien de DORA sectoroverschrijdend is, zal de regelgeving op niveau 2 gezamenlijk worden uitgevoerd door de Europese Bankautoriteit (EBA), de Europese Autoriteit voor effecten en markten (ESMA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA), vaak in hun samenstelling van het Gezamenlijk Forum.
[iii] Europese toezichthoudende autoriteiten, Openbare verklaring, De ETA's verwelkomen de aanbeveling van het ESRB over een pan-Europees systemisch coördinatiekader voor cyberincidenten voor de relevante autoriteiten.
[iiii] Europese Centrale Bank, Bankentoezicht, Verklaring betreffende samenwerking tussen toezichthouders op het gebied van operationele veerkracht.