Hoe DORA de relatie met leveranciers verandert

DORA vraagt om een andere mindset, zeker in organisaties waarin business units gewend zijn om redelijk onafhankelijk van elkaar in silo’s te opereren.

In het kort:

• Eén allesomvattend template om alle risico’s af te dekken, is in de praktijk niet beschikbaar en ook niet wenselijk. 
• Een succesvolle implementatie van DORA hangt af van gedegen governance, maatwerk in contracten en een nauwe samenwerking tussen juristen, IT-specialisten en riskmanagers.

Er bestaat helaas geen one-size-fits-all aanpak voor financiële instellingen die de Digital Operational Resilience Act (DORA) moeten implementeren. Integendeel, het is een complexe exercitie om leveranciers te screenen op potentiële risico’s. Dat vraagt ook iets van de interne organisatie: van werken in silo’s naar een uniforme governance en samenwerking.

DORA bouwt voort op eerdere guidelines van Europese toezichthouders. Regelgeving op het gebied van (IT-)uitbesteding is natuurlijk niet nieuw. DORA is dat wel, omdat het een verordening is die zich exclusief richt op de financiële sector. Deze legt talrijke verplichtingen op ten aanzien van digitale operationele weerbaarheid. Een verordening heeft directe werking, en daarmee is de impact veel groter dan die van Europese richtlijnen, de bekende directives. DORA, onderdeel van de Digital Finance Strategy van de Europese Unie, brengt veel onderwerpen onder één paraplu en legt de lat daarmee aanzienlijk hoger dan in het verleden. Niet eerder trokken Europese lidstaten op het gebied van digitale weerbaarheid zo gemeenschappelijk op.

Maatwerk blijft nodig

Waar in de financiële wereld de focus voorheen vooral lag op kapitaalbeheersing en financiële soliditeit, is digitale weerbaarheid nu ook uitgegroeid tot een belangrijk thema. Verwonderlijk is dat niet, want de gevolgen van digitale disrupties zoals ransomware of gegevensverlies bij financiële instellingen, zijn uitermate omvangrijk. Klanten van deze instellingen vormen de meest kwetsbare doelgroep om ten prooi te vallen aan phishing en andere vormen van digitale criminaliteit. Bovendien is de financiële sector van groot belang voor het maatschappelijk verkeer en daarom is gereguleerd toezicht noodzakelijk. Met de komst van DORA is nu sprake van een overkoepelend framework. De verordening is tevens een nieuwe maatstaf voor het risicobeheer van derde partijen, in het bijzonder partijen die IT-diensten leveren: de third party service providers. Meer specifiek volgen uit DORA verschillende verplichte bepalingen die een financiële instelling moet opnemen in elk contract met een partij die hen IT-diensten levert. Bij nieuwe wetgeving ligt het ontstaan van een vinkjescultuur op de loer, waarbij de implementatie gemakkelijk wordt afgedaan. Maar een standaardcontracttekst die alle vereisten voor alle derde partijen dekt, bestaat niet. DORA draait om een risicogebaseerde aanpak. Het is geen one size-fits-all. Eén allesomvattend template om alle risico’s af te dekken, is in de praktijk niet beschikbaar en ook niet wenselijk. Neem bijvoorbeeld het ontwerp van een exitstrategie om de samenwerking met een IT-leverancier op te zeggen zonder dat dit de continuïteit van de organisatie schaadt. Je kunt voor zo’n complexe exercitie misschien wel een checklist hanteren, maar maatwerk blijft nodig.

Intensief samenspel expertises

Vanaf begin 2024 zien we een versnelling in het tempo waarmee financiële instellingen zich met DORA bezighouden. Onder juristen, riskmanagers, CIO’s, CFO’s en CRO’s is het bewustzijn sterk gegroeid dat DORA impact heeft op hun werk. Als gevolg van een verzwaarde aansprakelijkheid geldt dit inmiddels ook voor (overige) bestuurders en commissarissen. DORA is daarom tegenwoordig in veel organisaties onderwerp van gesprek bij de koffieautomaat.

De belangrijkste doelstelling van DORA is de continuïteit van dienstverlening door digitale operationele weerbaarheid. Dat vraagt om uitvoerige due diligence bij ICT-relaties en de bijbehorende leveranciers. Er zijn assessments nodig om te beoordelen of een dienstverlener een prestatie nog kan leveren als er bijvoorbeeld calamiteiten zijn. Met andere woorden: hoe waarborgen we dat de kritieke infrastructuur onder alle omstandigheden kan voortbestaan? Dat vraagt om een intensief samenspel van allerlei expertises binnen organisaties, waaronder juristen.

Er gaan geluiden op dat een verordening zoals DORA een ‘verdienmodel’ voor juristen zou zijn. Dit doet echter geen recht aan de cruciale rol die juristen spelen in het waarborgen van een solide juridische basis voor de implementatie en naleving van dergelijke regelgeving. Hoewel DORA veel raakvlakken heeft met ICT, risk en governance, is de betrokkenheid van juristen essentieel. DORA creëert niet alleen nieuwe verplichtingen, maar ook een geheel nieuw speelveld van samenwerking en onderhandelingen. Juridische expertise is nodig om ervoor te zorgen dat DORA niet slechts een technische oefening blijft, maar een geïntegreerde aanpak oplevert die organisaties als geheel versterkt.

Stap naar de rechter

De verordening DORA bestaat uit ongeveer zeventig artikelen verdeeld over vijf pijlers en daaronder hangen in totaal zo’n 1.200 individuele verplichtingen. Deze verplichtingen zijn nader uitgewerkt in Regulatory en Implementation Technical Standards. Ze geven aan wat er specifiek in een IT-contract moet staan, hoe je audits inricht en ICT-incidenten classificeert en rapporteert. Ook de wijze van selecteren van IT-leveranciers en verplichtingen naar de toezichthouder zijn in deze standaarden geregeld.

DORA verplicht financiële instellingen om in hun contracten met IT-leveranciers duidelijke afspraken te maken over onderaannemers en de beveiliging van gegevens. Deze eisen versterken de nadruk op het risicomanagement in de gehele IT-keten en creëren een juridisch afdwingbaar kader voor de rechter. Hoewel het lastig te voorspellen is of dit zal leiden tot meer juridische procedures, wordt het voor instellingen cruciaal om hun contractuele verplichtingen grondig te herzien. Veelal zal het noodzakelijk zijn om contracten open te breken en afspraken met leveranciers te onderwerpen aan onderhandelingen. Al met al is het een gigantische screenings- en onderhandelingsoperatie.

Financiële instellingen moeten diensten van IT-leveranciers kunnen opschorten of zelfs beëindigen als ze risico’s voor de continuïteit van hun dienstverlening identificeren. In sommige gevallen leveren IT-leveranciers een kleine hoeveelheid diensten aan een beperkt aantal partijen.

Als die diensten worden beëindigd, is dat funest voor hun businessmodel. Dat benadrukt het belang van een goede overeenkomst waarin cybersecurityrisico’s tijdig zijn geïdentificeerd en afgedekt. Hoewel IT-geschillen veelal via schikkingen worden opgelost, zou DORA wel eens een verschuiving kunnen inluiden naar meer juridische procedures.

Andere mindset nodig

Instellingen moeten DORA mede vanuit groepsniveau benaderen. Kwetsbaarheden dienen gezamenlijk te worden getackeld volgens een uniform stramien. Eventuele boetes worden immers ook op groepsniveau opgelegd, waardoor instellingen lokale incidenten niet kunnen of mogen negeren. In het kader van mogelijke reputatieschade is het sowieso onverstandig om te denken dat eventuele incidenten zich lokaal vanzelf wel oplossen.

Financiële instellingen beschikken doorgaans al over een governance en (IT-)infrastructuur om aan deelvereisten van DORA te voldoen. Een van de grootste uitdagingen is echter om te komen tot een holistische benadering. Daarbij wordt in kaart gebracht hoe de organisatie opereert en waar lacunes zitten ten opzichte van de verplichtingen van DORA. Er moeten ook verbindingen worden gelegd tussen de vijf pijlers van DORA. Dat vraagt om een andere mindset, zeker in organisaties waarin business units gewend zijn om redelijk onafhankelijk van elkaar in silo’s te opereren.

DORA markeert een nieuwe fase in de regulering van digitale operationele weerbaarheid binnen de financiële sector. Een succesvolle implementatie hangt af van gedegen governance, maatwerk in contracten en een nauwe samenwerking tussen juristen, IT-specialisten en riskmanagers.
 

Dit is een artikel uit het Eye on Finance magazine. Download hier de PDF voor meer inzichten over DORA en de financiële sector of bekijk de andere artikelen hieronder.