DORA en de impact op IT-risico's: een gesprek met toezichthouders AFM en DNB

“Sommige organisaties moesten van nul naar honderd in vijf seconden.”

In het kort:

• Vanuit het perspectief van de toezichthouder blijft de basisgedachte dat het gaat om het zo goed mogelijk mitigeren van risico’s.
• Vanuit hun toezichtstaak vinden AFM en DNB het heel belangrijk om te zien dat het ‘three lines’ model binnen organisaties goed werkt.

Toezichthouders DNB en AFM hebben vanaf begin dit jaar met DORA een nieuw thema in het vizier. Al is het thema ook weer niet heel nieuw. In een roundtable met Jacco Jacobs (DNB), Tom van de Ven (AFM) en Rudrani Djwalapersad (EY) onder leiding van gespreksleider Joost Elsenburg (HVG Law) blijkt dat zij de geest van de wet centraal willen stellen en graag in gesprek zijn met instellingen over interpretaties.

Cyberweerbaarheid is belangrijk. En vla is meestal geel. Dit is geen nieuws, hoewel de wereld soms verrast is wanneer incidenten blootleggen hoe afhankelijk de financiële wereld is van stabiele en betrouwbare technologie achter de schermen. De Europese wetgeving van DORA heeft op dit vlak ook een taak in petto voor toezichthouders. Wat betekent dit voor de teams die zich specifiek met dit thema bezighouden? 

VAN DE VEN: “Het aantal collega’s binnen AFM dat zich hiermee bezighoudt, is verdubbeld naar vijftien mensen. Een belangrijke reden is dat de AFM intensiever dan voorheen toezicht op IT-risico’s zal gaan houden bij de ondernemingen die onder deze wet vallen, denk bijvoorbeeld aan vermogensbeheerders. Financiële instellingen in Nederland vallen voor de beheersing van hun IT-risico’s tot op heden veelal onder de Wet op het financieel toezicht (Wft), maar de eisen op dat vlak zijn niet erg specifiek. De komst van DORA heeft dat veranderd: deze instellingen hebben nu te maken met behoorlijk gedetailleerde eisen op dat vlak. Vooral voor de wat kleinere partijen geldt soms dat zij van nul naar honderd moeten in vijf seconden. We hebben daar in 2024 dan ook veel aandacht aan besteed en campagnes gevoerd om het bewustzijn en de kennis in de sector te verhogen.”

DJWALAPERSAD: “Oorspronkelijk was de groep organisaties die onder DORA viel nog groter en vielen ook accountantskantoren zoals EY eronder. Ook deze groep zou te maken krijgen met een compleet nieuwe realiteit. Het is niet ondenkbaar dat dat alsnog zal gebeuren, aangezien de Europese Commissie DORA binnen twee jaar gaat evalueren.” 

JACOBS: “In het geval van DNB is de verandering minder ingrijpend. De onder toezicht staande instellingen waren al jaren bezig met cyberweerbaarheid. Het grote verschil is dat we met DORA van een open norm naar precieze voorschriften zijn gegaan. Financiële instellingen moeten bij voorbeeld een informatieregister bijhouden voor alle contractuele overeenkomsten met derde partijen. En wat ook veel impact had: de Threat Led Penetration Testing (TLPT), een test voor het identificeren van kwetsbaarheden waar een selectie instellingen aan wordt onderworpen. En meer in algemene zin willen instellingen natuurlijk weten hoe streng we als toezichthouder zijn.”

En? Hoe streng zijn jullie? 

JACOBS: “Niet strenger of minder streng dan partijen van ons gewend zijn. En er zit ook geen verrassing in de middelen die we gebruiken. Het gaat ook bij deze wet om het bekende toezichtarsenaal, van het beoordelen van rapportages tot deep dives op bepaalde aspecten, tot het voeren van normoverdragende gesprekken indien nodig. We leggen wel bepaalde accenten als het om DORA gaat. Begin 2025 letten we vooral op of de instellingen hun informatieregisters op orde hebben en of ze goede procedures hebben voor het rapporteren van incidenten. Maar de werkwijze is niet anders dan ze gewend zijn voor het toezicht vanuit de Wet Financieel Toezicht (Wft). In het verleden maakten we onder meer gebruik van de ‘good practice’ informatiebeveiliging, een open norm. Die is nu ingehaald door de komst van DORA, en we gebruiken nu het wettelijk kader zoals DORA ons biedt.” 

VAN DE VEN: “Ook bij ons is er geen sprake van een koerswijziging in hoe we toezicht houden. Het wordt weliswaar intensiever, maar het blijft risicogebaseerd, en met proportionaliteit als centraal uitgangspunt. De instellingen weten welke middelen we hebben om toezicht te houden. Wat ik belangrijk vind, is een goed gesprek. Zeker bij de komst van nieuwe wetgeving is er soms sprake van onzekerheden en interpretaties. En ook wij zijn niet alwetend. Als toezichthouder gaan we graag het gesprek aan en instellingen hoeven dan ook geen enkele schroom te hebben om zaken aan te kaarten, zij hoeven niet bang te zijn dat ze daarna extra kritisch bekeken zullen worden. Ons emailadres werkt gewoon!” 

JACOBS: “Eens, we pogen als toezichthouder toegankelijk en transparant te zijn en dragen onze interpretaties ook uit in bijvoorbeeld seminars en roundtables.” 

DJWALAPERSAD: “Dat neemt niet weg dat veel instellingen met lastige vraagstukken te maken hebben of hadden. Vaak is professional judgement door de instellingen nodig voor de naleving van één wet, maar zij hebben te maken met toezichthouders in verschillende landen die andere interpretaties kunnen hebben. Daar zijn zorgen over.” 

Delen jullie die zorgen bij AFM en DNB?

JACOBS: “Voor de grootbanken maken we deel uit van internationale joint supervisory teams van het SSM. En er is veel internationaal overleg en afstemming tussen toezichthouders. Maar natuurlijk zal er altijd enige vorm van interpretatie zijn. Onze basisgedachte is en blijft dat het gaat om het zo goed mogelijk mitigeren van risico’s, en daar gaan we het gesprek over aan.” 

VAN DE VEN: “Laten we niet vergeten waar we vandaan komen qua wetgeving. Er was juist veel wildgroei en grote verschillen tussen de 27 lidstaten. Nu hebben we één wet – bereikt na veel internationaal overleg en compromissen – en dat is pure winst, ook al omdat je op een thema als weerbaarheid geen concurrentie tussen landen wilt hebben. Het is een wet die behoorlijk voorschrijvend is en waar dus weinig ruimte is voor interpretaties.” 

DJWALAPERSAD: “Goed punt. Een wetgevingstraject als NIS2 kent veel meer verschillen. Misschien was het goed geweest om die ook op deze leest te schoeien.” 

In hoeverre kunnen jullie gebruik maken van (rapportages van) de accountant of IT-auditor in het toezicht op dit thema?

VAN DE VEN: “Als onafhankelijke toezichthouders moeten we onze eigen toezichtwerkzaamheden verrichten, maar we nemen uiteraard ook kennis van relevante werkzaamheden van de accountant of IT-auditors. We zijn zeker niet blind voor hun bevindingen en juichen toe dat er meer aandacht komt van hen voor onderwerpen als cyberweerbaarheid.” 

JACOBS: “Vanuit onze toezichtstaak vinden we het heel belangrijk om te zien dat het ‘three lines’-model binnen organisaties goed werkt, en we nemen zeker kennis van de rapportages van accountants en IT-auditors al was het maar omdat we daarmee beter focus in ons eigen werk kunnen aanbrengen.” 

DJWALAPERSAD: “NOREA heeft het NOREA Reporting Initiative gelanceerd, een nieuwe manier om inzicht te bieden in de beheersing van IT. Dat levert toezichthouders op dit terrein heel waardevolle informatie op. En minstens even belangrijk: het geeft het management handvatten om te verbeteren en aan te sturen.” 

JACOBS: “Als bestuurder moet je echt bezig zijn met cyberweerbaarheid, je kunt dit niet weg delegeren. En dat betekent dat je ook de kennis moet hebben om de juiste vragen te stellen, bijvoorbeeld over dit IT-beheersingsverslag. En dat kennisniveau verdient hier en daar nog wel wat aandacht. De komst van de NRI juichen we zeker toe, dit draagt bij aan bewustwording en inzicht aan de bestuurstafel, alsmede bij toezichthouders als RvC-leden.”
 

Dit is een artikel uit het Eye on Finance magazine. Download hier de PDF voor meer inzichten over DORA en de financiële sector of ontdek de andere artikelen hieronder.
 

Deelnemers