De Digital Operational Resilience Act (DORA) is Europese wetgeving die de weerbaarheid van financiële instellingen voor operationele verstoringen in de IT moet vergroten en daarmee impact heeft op het risicomanagement van elk pensioenfonds.
IT neemt een steeds centralere rol in de bedrijfsvoering van financiële instellingen. Ook neemt de onderlinge verwevenheid toe. Criminelen zijn steeds beter in het aanvallen en misbruiken van digitale infrastructuur en gegevens. Kwetsbaarheden in de IT van instellingen zijn daardoor niet alleen risicovol voor de instelling, maar kunnen ook leiden tot systeemrisico’s.
Helaas is er binnen de EU nog geen gemeenschappelijk kader voor het beheersen van IT-risico’s. Deze beide punten zijn voor de Europese Unie aanleiding om via gemeenschappelijke wetgeving de weerbaarheid van financiële instellingen voor verstoringen in de IT te vergroten; Digital Operational Resilience Act (DORA).
Deze wet kent de onderstaande pilaren:
- IT-risicobeheer
- IT-gerelateerde incidenten
- Testen van de digitale operationele veerkracht
- Beheer van IT-risico’s in de keten van uitbesteding
- Informatie-uitwisseling.
Naar verwachting treedt de wet in het eerste kwartaal van 2023 in werking. Daarna krijgen instellingen nog 2 jaar om aan de vereisten te voldoen. In die periode van twee jaar wordt ook de lagere regelgeving (technische reguleringsnormen) bekend. Ook pensioenfondsen moeten voldoen aan de vereisten uit DORA. Aan de hand van drie vragen geven we inzicht in deze nieuwe wet:
- Wat is de impact van DORA op Nederlandse pensioenfondsen?
- Hoe zit het dan met proportionaliteit?
- Wat kan ik als pensioenfonds doen?
1. Wat is de impact van DORA op Nederlandse pensioenfondsen?
Veel van de eisen uit DORA komen terug in bestaande richtlijnen, zoals het DNB-raamwerk voor informatiebeveiliging met de 58 maatregelen. Pensioenfondsen kunnen voortbouwen op de stappen die ze hebben gezet om te voldoen aan dit DNB-raamwerk.
Echter, DORA is zowel breder als specifieker en nog niet alle pensioenfondsen hebben het DNB-raamwerk al geïmplementeerd. De exacte impact van DORA gaat deels blijken uit de nog onbekende lagere regelgeving (technische reguleringsnormen) en de invulling van het proportionaliteitsbeginsel. Maar we kunnen wel al een inschatting maken op basis van de huidige wetteksten. Deze inschatting is hieronder per pilaar uit DORA uiteengezet. Ook de uitbestedingspartijen lijken impact van DORA te zullen ondervinden.
IT-risicobeheer: dit onderwerp is al bekend maar toch is er een aantal uitdagingen, zoals bijvoorbeeld:
- Governance. DORA vereist betrokkenheid van een leidinggevend orgaan bij het IT-risicobeheer en verwacht dat de kennis en kunde van dit leidinggevend orgaan op pijl is. Dit betekent mogelijk aanvullende eisen ten aanzien van IT-deskundigheid voor bestuurders.
- Alomvattend. De term ‘alomvattend’ komt ook op verschillende plekken terug. Bijvoorbeeld bij het identificeren, classificeren en documenteren van alle IT-gerelateerde bedrijfsfuncties. Dit vereist behoorlijk extra werk voor pensioenfondsen.
Incidentenrapportage en communicatie: er komen specifieke aanvullende eisen voor IT-incidenten. Vooral voor grote incidenten zijn er strikte deadlines. Dit vraagt om een goed gedocumenteerd en getest proces in samenhang met de kritieke uitbestedingspartners.
Testen van de digitale operationele veerkracht: dit onderwerp is al bekend, maar er komen aanvullende eisen rondom weerbaarheid en continuïteitstesten. Bijvoorbeeld:
- Meer aandacht voor het testen van continuïteitsplannen. Vanuit het pensioenfonds wordt vaak gekeken naar de testen door uitbestedingspartijen. Een volgende stap vanwege DORA is een geïntegreerde test van het pensioenfonds met de belangrijkste uitbestedingspartijen.
- Dit onderwerp is breder binnen DORA. Het gaat ook om specifieke analyses om kwetsbaarheden te ontdekken zoals pentesten. Pensioenfondsen moeten bij hun uitbestedingspartijen toetsen of deze analyses voldoen aan de eisen uit DORA.
Beheer van IT-risico’s in de keten van uitbesteding: er komen specifieke eisen voor contracten, exit strategieën en het beheren van risico’s binnen de gehele keten. Daarnaast stelt DORA dat instellingen een gedetailleerd register van uitbestedingen moeten bijhouden.
Informatie-uitwisseling: dit onderdeel is nieuw voor pensioenfondsen. Het gaat over het uitwisselen van informatie over IT-incidenten tussen instellingen om van elkaar te leren. Pensioenfondsen en uitbestedingspartijen moeten de balans vinden tussen het delen van gevoelige informatie (vanuit de uitbestedingspartij) en voldoen aan de vereisten uit DORA.
2. Hoe zit het met proportionaliteit?
DORA hanteert een ‘proportionaliteitsbeginsel’, dat betekent dat instellingen met een lager risicoprofiel kunnen volstaan met een beperktere opzet van het risicomanagement en het testen van de weerbaarheid. Het is aan DNB om invulling te geven aan dit proportionaliteitsbeginsel voor Nederlandse instellingen waaronder pensioenfondsen. Het is nog lastig in te schatten hoe DNB hier invulling aan gaat geven.
3. Wat kan ik als pensioenfonds doen?
Pensioenfondsen hebben twee jaar om te voldoen aan deze nieuwe wet, en doen er goed aan om hier snel mee aan de slag te gaan. Denk daarbij aan de onderstaande stappen:
- Gap-analyse tussen de huidige IT-beveiliging van uw pensioenfonds en DORA. De gaps liggen waarschijnlijk voor een groot deel in de in dit artikel genoemde punten:
- IT-deskundigheid in bestuur organiseren
- Incidentenbeleid herzien
- Geïntegreerde continuïteitstesten met de belangrijkste uitbestedingspartijen
- Opzetten of uitbreiden van het uitbestedingsregister
- Exit strategie voor uitbestedingen ontwikkelen.
- In gesprek gaan met de belangrijkste uitbestedingspartijen. Hoe samen zorgen dat je op tijd gereed bent voor deze nieuwe eisen.
- In gesprek met DNB. Hoe kijkt DNB aan tegen deze wetgeving en het proportionaliteitsbeginsel?
- Volgen van de ontwikkelingen rondom het tot stand komen van de technische reguleringsnormen.