Skip to main content

Wat kunnen we verwachten van de Digital Operational Resilience Act?

Een samenvatting van de belangrijkste implicaties en onze aanbevelingen

De Digital Operational Resilience Act (DORA) van de EU nadert de eindstreep. Dit zal aanzienlijke gevolgen hebben voor bedrijven in de financiële dienstverlening. We gaan dieper in op de belangrijkste aspecten van de verordening (bv. incidentrespons, beheer van cyber risico's, enz.) en voorzien in acties zonder spijt.

Door Hugo Atzema en Noah Brandwijk

Dit artikel is geschreven in samenwerking met Deloitte's EMEA Centre for Regulatory Strategy en hun uitgebreide analyse is hier gepubliceerd.

In één oogopslag:

 

  • De afronding van de Digital Operational Resilience Act (DORA) van de EU is een belangrijke ontwikkeling in de regelgeving voor financiële dienstverleners die later dit jaar wordt verwacht.
  • De DORA zal streven naar harmonisatie van de digitale weerbaarheid in de Europese Unie door de invoering van vereisten inzake ICT-risicobeheer en de rapportage van ICT-gerelateerde incidenten.
  • Nu de onderhandelingen over de DORA in een vergevorderd stadium zijn, wordt de definitieve vorm van de wetgeving steeds duidelijker. In de EU gevestigde bedrijven moeten kennis nemen van de stand van de besprekingen om een beter inzicht te krijgen in de vereisten die zij binnenkort zullen moeten implementeren.
  • De DORA zal waarschijnlijk een implementatieperiode van 24 maanden hebben, maar het zal langer duren om belangrijke technische normen af te ronden, waardoor bedrijven minder tijd hebben om zich voor te bereiden om te voldoen aan de nieuwe vereisten waarmee ze te maken zullen krijgen.
  • Bedrijven kunnen het zich niet veroorloven om te wachten tot het politieke proces is afgerond, maar moeten nu al nadenken over wat er nodig is voor een succesvolle implementatie. We identificeren verschillende "no regret"-acties met betrekking tot de belangrijkste initiatieven van de DORA waarover bedrijven nu moeten beginnen na te denken.

De DORA stelt de vereisten vast voor FS-bedrijven in de EU voor cyber-/ICT-risicobeheer, incidentrapportage, weerbaarheidstests en uitbesteding door derden. Bovendien stelt het FS-toezichthouders in staat toezicht te houden op kritieke ICT-derde aanbieders (CTTP's).

Als onderdeel van het Europese Fit for a Digital Age-programma zal de DORA bijdragen aan de digitale transformatie van Europa door de regelgeving voor de bovengenoemde sectoren in de EU te harmoniseren. Het Europees Parlement (EP) en de Europese Raad zijn onderhandelingen ("trialogen") begonnen, de laatste stap voordat DORA als wet kan worden aangenomen. Deze besprekingen, die de standpunten van de instellingen op één lijn moeten brengen, zullen naar verwachting medio 2022 worden afgerond.

Wanneer moeten bedrijven de DORA implementeren?

 

Het EP en de Raad willen een algemene uitvoeringstermijn van 24 maanden toekennen. Er is echter onenigheid over het tijdschema voor de uitvoering van de vereisten voor het testen van de veerkracht (het EP vraagt om een periode van 36 maanden, de Raad voorstander van 24 maanden). Wij zijn van mening dat bedrijven moeten uitgaan van een implementatieperiode van 24 maanden voor alle vereisten van de DORA, die loopt van H2 2022 tot H2 2024.

Wat is de stand van zaken in de belangrijkste onderdelen van de DORA?

 

We zien een aantal belangrijke punten uit onze analyse van waar de Raad en het EP op één lijn zitten over de DORA, en waar ze verschillen. Dit zijn:

  • Vereisten voor ICT-risicobeheer: De standpunten over ICT-risicobeheer en -governance zijn grotendeels op elkaar afgestemd. Beide delegeren een groot deel van de regelgeving voor ICT-risicobeheer aan de Europese toezichthoudende autoriteiten[i] (ETA's) om deze op te stellen in technische reguleringsnormen (RTS). Het verschil is dat het EP wil dat bedrijven jaarlijks alle ICT-gerelateerde incidenten openbaar maken. De Raad verplicht bedrijven alleen om bedrijfsimpactanalyses uit te voeren van hun blootstelling aan ernstige verstoringen.
  • Vereisten voor het melden van ICT-incidenten: Beide zijn voorstander van een geharmoniseerde meldingsplicht voor ernstige ICT-gerelateerde verstoringen (met inbegrip van het melden van bijna-ongevallen). De ETA's zullen RTS'en ontwikkelen om materialiteitsdrempels verder te specificeren om verstoringen tijdig en beknopt te melden. Bedrijven kunnen worden gevraagd om significante cyberdreigingen te melden, EP op vrijwillige basis, terwijl de Raad wil dat dit verplicht wordt. De uitkomst zal waarschijnlijk in overeenstemming zijn met de vereisten in de herziene NISD, waarover ook wetgevingsonderhandelingen worden gevoerd die dit jaar moeten worden afgerond.
  • Vereisten voor het testen van veerkracht: Bedrijven zullen regelmatig hun operationele veerkracht moeten testen, waarbij bepaalde bedrijven worden onderworpen aan "geavanceerde" tests, waaronder TLPT's. Beiden zijn het hierover eens, omdat ze moeten afstemmen op de reikwijdte van de opgenomen bedrijven en de frequentie van TLPT's (het EP wil dat het om de drie jaar gebeurt, de Raad delegeert de beslissing aan de autoriteiten). De ETA's zullen geavanceerde testmethoden uitwerken in een RTS. In de tussentijd kunnen bedrijven het Threat Intelligence-Based Ethical Red-Teaming-framework van de ECB als leidraad gebruiken.
  • ICT-risicobeheer door derden: Beide handhaven de meeste van de door de DORA voorgestelde vereisten voor bedrijven die gebruik maken van externe leveranciers (TPP's) om kritieke of belangrijke functies te ondersteunen. Het EP wil ook aanvullende vereisten toevoegen, zoals ervoor zorgen dat TPP's uit derde landen onder het recht van een EU-lidstaat vallen. Dit zijn nieuwe vereisten voor bedrijven en zullen veel werk vergen, zowel wat betreft het in kaart brengen als het onderhandelen over contractuele bepalingen.
  • CTTP-toezicht: Beiden zijn het erover eens dat bepaalde ICT-TPP's die als "kritiek" zijn aangemerkt, onder rechtstreeks toezicht van de financiële autoriteiten van de EU moeten vallen. In beide gevallen wordt ook beoogd een CTTP te verplichten een juridische dochteronderneming in de EU te hebben om diensten aan te bieden aan financiële dienstverleners. Voor het toezichtsmechanisme stelt het EP een "gezamenlijk toezichtsforum" voor om de hoofdtoezichthouder bij te staan. Deze vereiste zal nieuwe niet-FS-bedrijven/TPP's in de regelgevingsperimeter van FS brengen, waardoor ze onder toezicht en controle van FS komen te staan. Het is zeer waarschijnlijk dat aanbieders van clouddiensten onder het toepassingsgebied van dit toezicht zullen vallen.

Technische normen zullen een belangrijk onderdeel zijn van nieuwe eisen

 

Het DORA-pakket delegeert een aanzienlijke beslissingsbevoegdheid aan de ETA's. RTS'en zullen cruciaal zijn om het volledige spectrum van vereisten te begrijpen waarmee bedrijven te maken krijgen van de DORA.

De ETA's zullen pas beginnen met het opstellen van deze RTS'en zodra de DORA later dit jaar is afgerond, en de tijdlijnen voor secundaire regelgeving variëren. De duidelijkheid voor bedrijven zal beperkt zijn terwijl ze zich voorbereiden op de implementatie van DORA en de voltooiing van RTS's. Bedrijven moeten dus beoordelen en vaststellen welke no-regret-acties ze kunnen ondernemen om zich voor te bereiden op de nieuwe regels. Dit is belangrijk omdat de ETA's later een aantal technische regels inzake het melden van incidenten en ICT-risicobeheer zullen invoeren.

Er moeten in een vroeg stadium uitvoeringsmaatregelen worden vastgesteld

 

Onze ervaring is dat de voorbereiding op de eerste implementatie van de nieuwe regels meer tijd en middelen heeft gekost dan veel bedrijven hadden verwacht; daarom moeten de maatregelen die nu moeten worden genomen, worden geïdentificeerd.

Naar onze mening zijn er verschillende "no regret"-acties die bedrijven zouden moeten overwegen:

  • Op het gebied van ICT-risicobeheer: het uitvoeren van een gap-analyse van bestaande praktijken op het gebied van ICT-risicobeheer en -governance. Daarnaast is het van cruciaal belang dat er meer middelen worden uitgetrokken voor de opsporing van dreigingen en incidenten en dat de bedrijfsbrede opleidingsprogramma's voor ICT-beveiligingsbewustzijn worden verbeterd, met speciale aandacht voor het bewustzijn van bestuursorganen zoals de raad van bestuur. Wij zijn van mening dat er speciale aandacht moet worden besteed aan het duidelijk maken wat uw kritieke activa precies zijn, waar ze worden gehost, wat ze hosten en welke processen ze ondersteunen. Dit zal later input zijn voor het testen van de veerkracht.
  • Over het melden van incidenten: het uitvoeren van een evaluatie van het incidentbeheer en de rapportagevolwassenheid om inzicht te krijgen in de huidige capaciteiten van het bedrijf en om te evalueren of het bedrijf zich bewust is van de vele vereisten voor het melden van ICT-incidenten die van toepassing zijn in de FS-sector. Kijk ook of u over de mogelijkheden beschikt om bijna-ongevalsincidenten te detecteren. Vragen die je jezelf hier moet stellen is of je in staat bent om significante incidenten altijd binnen 48 uur te melden en of je informatie kunt verstrekken zoals het bepalen van de geografische spreiding en het aantal getroffen gebruikers.
  • Over veerkrachttests: inzicht in de vaardigheden en capaciteiten die nodig zijn om veerkrachttests vorm te geven en uit te voeren, inclusief trainingssessies voor bestuursleden over veerkrachttestmethoden (inclusief TLPT's indien waarschijnlijk binnen het toepassingsgebied van geavanceerde testvereisten) en de implicaties voor herstel. Als u bekend bent met het TIBER-raamwerk, overweeg dan ook een mogelijke toename van de frequentie en reikwijdte van het testen, aangezien DORA meer tests kan verplichten.
  • Over TPP-risicobeheer: gericht op het verbeteren van het in kaart brengen van TPP-contracten en -verbindingen, het documenteren en beoordelen van kwetsbaarheden van derden om de ontwikkeling van een risicobeheersingsstrategie te helpen informeren. Begrijp echt welke serviceproviders cruciaal zijn voor het hosten van de belangrijkste bedrijfsprocessen. Is er een exit-strategie of een fouttolerante architectuur om het verlies van bepaalde kritieke leveranciers te beperken?

DORA is op weg naar afronding. Bedrijven moeten zich bewust zijn van de implementatie-uitdagingen die zich voor de periode van twee jaar zullen voordoen. Bedrijven kunnen voorop blijven lopen door een proactieve aanpak te volgen om een realistisch en haalbaar implementatieplan te ontwikkelen.

Slotopmerkingen

 

[ii] Aangezien de DORA sectoroverschrijdend is, zal de regelgeving op niveau 2 gezamenlijk worden uitgevoerd door de Europese Bankautoriteit (EBA), de Europese Autoriteit voor effecten en markten (ESMA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA), vaak in hun samenstelling van het Gezamenlijk Forum.

[iii] Europese toezichthoudende autoriteiten, Openbare verklaring, De ETA's verwelkomen de aanbeveling van het ESRB over een pan-Europees systemisch coördinatiekader voor cyberincidenten voor de relevante autoriteiten.

[iiii] Europese Centrale Bank, Bankentoezicht, Verklaring betreffende samenwerking tussen toezichthouders op het gebied van operationele veerkracht.

Did you find this useful?

Thanks for your feedback

If you would like to help improve Deloitte.com further, please complete a 3-minute survey