DORA: Implementatiewet digitale operationele weerbaarheid

Blog

Richtlijn DORA

De huidige regels met betrekking tot het beheer van ICT-risico’s in de financiële sector zijn vastgelegd in verschillende sectorale richtlijnen die van toepassing zijn op een klein aantal dienstenaanbieders, zoals kredietinstellingen en betaalinstellingen. Daarin zijn vaak eisen vastgelegd ten aanzien van risicobeheer, interne procedures en respons- en herstelplannen. Voor veel financiële entiteiten bestaan er echter geen regels met betrekking tot het beheer van ICT-risico’s of hebben lidstaten soms eigen nationale regelgeving hieromtrent. Dit brengt mee dat de aanpak van ICT-risico’s tussen de financiële entiteiten uit verschillende sectoren en lidstaten verschilt. De DORA richtlijn beoogt de versnipperde sectorale richtlijnen te harmoniseren en in lijn te brengen met DORA. Voor financiële entiteiten waarvoor geen regelgeving met betrekking tot cyberweerbaarheid bestaat, zal DORA zelf het regelgevende kader zijn.

Implementatiewet

In tegenstelling tot DORA, die zoals iedere Europese verordening rechtstreekse werking heeft, moet de DORA richtlijn eerst in de nationale wetgeving worden geïmplementeerd. De implementatie van de DORA richtlijn in de nationale wetgeving moet uiterlijk 17 januari 2025 geschieden, de datum waarop ook DORA van toepassing is. In Nederland is in dat kader de Implementatiewet opgesteld. Omdat de sectorale richtlijnen die betrekking hebben op het beheer van ICT-risico’s in Nederland in de Wet op het financieel toezicht (‘Wft’) zijn geïmplementeerd, voorziet het wetsvoorstel in een aantal aanpassingen van de Wft. Het toezicht daarop zal om die reden bij de Autoriteit Financiële Markten (‘AFM’) berusten. Momenteel ligt het wetsvoorstel bij de Tweede Kamer.

De Implementatiewet breidt de reeds gestelde eisen op het gebied van het beheer van ICT-risico’s en ICT-huishouding uit. De Implementatiewet heeft betrekking op een aantal regels uit de Wft die voortvloeien uit de richtlijn kapitaalvereisten, de richtlijn herstel en afwikkeling van banken en beleggingsondernemingen, de richtlijn markten voor financiële instrumenten 2014 en de richtlijn betaaldiensten. De Implementatiewet brengt onder meer extra verplichtingen mee voor banken, marktexploitanten die de gereglementeerde markt exploiteren, beleggingsondernemingen die zich bezighouden met algoritmische handel en De Nederlandsche Bank (‘DNB’) als nationale afwikkelingsautoriteit van banken en beleggingsondernemingen. Met laatstgenoemde wordt gedoeld op de taak van DNB als afwikkelingsautoriteit op grond waarvan DNB dient in te grijpen bij zwakke of falende banken of beleggingsondernemingen ter waarborging van de continuïteit van de kritieke financiële en economische functies daarvan.

Voor banken bevat de Implementatiewet de verplichting om ICT-risico’s die worden geconstateerd tijdens uitgevoerde tests van digitale operationele weerbaarheid, mee te nemen in reeds bestaande evaluaties conform artikel 3:18a Wft. DNB zal als afwikkelingsautoriteit in een op te stellen afwikkelingsplan conform artikel 3a:9 Wft ook de eisen van de DORA mee moeten nemen. Voor beleggingsondernemingen die zich bezighouden met algoritmische handel is in de Implementatiewet de verplichting opgenomen om ervoor te zorgen dat interne procedures ten aanzien van storingen van handelssystemen conform artikel 4:91n Wft aan de vereisten van DORA voldoen. Dergelijke ondernemingen dienen onder meer te voldoen aan de regels uit DORA met betrekking tot ICT-risicobeheer en moeten beschikken over een doeltreffende regeling en ICT-respons- en herstelplannen om de bedrijfscontinuïteit bij storingen te garanderen. Marktexploitanten die de gereglementeerde markt exploiteren, moeten onder meer adequaat zijn toegerust op het kunnen beheren van ICT-risico’s waaraan het handelsplatform wordt blootgesteld. Bovendien dienen zij onder meer zorg te dragen voor het opbouwen van operationele weerbaarheid in overeenstemming met de vereisten die betrekking hebben op het doeltreffende en prudente beheer van ICT-gerelateerde risico’s uit DORA. Ook moeten marktexploitanten die de gereglementeerde markt exploiteren zorgen voor respons- en herstelplannen voor ICT en dient de testomgeving voor het testen van algoritmen te voldoen aan de hoofdstukken II en IV van DORA. Voor verzekeraars bevat de Implementatiewet geen extra verplichtingen, deze zullen in het kader van digitale operationele weerbaarheid in beginsel dus enkel aan DORA moeten voldoen.

De richtlijn instellingen voor collectieve beleggingen in effecten, richtlijn solvabiliteit II, richtlijn beheerders van alternatieve beleggingsinstellingen en de richtlijn instellingen voor bedrijfspensioenvoorzieningen, behoeven geen wijzigingen van de nationale wetgeving. Dit komt doordat in de Wft voor deze richtlijnen reeds voldoende ruimte is gecreëerd om aan de verplichtingen uit DORA te kunnen voldoen of omdat in DORA al naar deze richtlijnen wordt verwezen.

Conclusie

De verwachting is dat DORA en de DORA richtlijn zullen zorgen voor een hoog niveau van cyberweerbaarheid van de financiële sector en daarmee voor een stabielere financiële sector en een afname van cyberincidenten. Om een hoger niveau van cyberweerbaarheid te creëren, is alleen regelgeving niet voldoende. Alhoewel veel financiële entiteiten en ICT-dienstverleners veel aandacht besteden aan cyberweerbaarheid en al maatregelen treffen, geldt dat nog niet voor allemaal. Over minder dan een jaar is het zo ver. Raadzaam is daarom om niet langer te wachten met (voorbereidingen op) de naleving van de aanstaande regelgeving.