De Digital Operational Resilience Act (‘DORA’) heeft tot doel de harmonisatie van regels die betrekking hebben op digitale weerbaarheid voor de financiële sector. DORA is van toepassing op 21 verschillende typen van financiële entiteiten. Vanaf 17 januari 2025 is DORA van kracht.
Eerder hebben we reeds bericht over DORA (1) en de invloed die DORA zal hebben op contractering met IT-leveranciers (2). Dat laatste is onderdeel van de vierde zuil van DORA, namelijk ‘het beheer van ICT-risico’s van derde aanbieders’. De eerste zuil is een ‘algemeen kader voor ICT-risicobeheer’. De tweede zuil betreft ‘het beheer, classificatie en rapportage van ICT-gerelateerde incidenten’ en de derde zuil ‘het testen van digitale operationele weerbaarheid’.
Vijfde zuil van DORA betreft ‘het oversightkader voor kritieke derde aanbieders van ICT-diensten’. Deze zuil betreft zogenaamde kritieke derde aanbieders van ICT- diensten die door de Europese toezichthouders kunnen worden aangewezen en waarvoor toezicht zal gelden. Hierbij gaat het om grote, systemische IT-leveranciers die zijn aangewezen als cruciaal. Dit moet worden onderscheiden van IT-leveranciers van kritieke of belangrijke functies waarop het regime van de vierde zuil van toepassing is. Uiteraard zal een kritieke derde aanbieder van ICT-diensten in de regel ook kritieke of belangrijke functies aanbieden.
De regels voor de verschillende zuilen zijn weliswaar in grote lijnen in DORA opgenomen, maar op een aantal terreinen worden de Europese toezichthouders (EIOPA, EBA en ESMA) gezamenlijk gemandateerd om bepaalde normen verder uit te werken in de vorm van nadere ‘Technical Standards’. Op 17 januari 2024 is er nadere regelgeving (‘Technical Standards’) gepubliceerd waarmee nadere invulling wordt gegeven aan onderdelen van de hierboven genoemde zuilen (onder andere een nadere invulling van de onderdelen waaruit het algemene kader voor ICT-risicobeheer zou moeten bestaan en de risico-classificatie voor incidenten).
Inmiddels is er een tweede reeks van aanvullende regelgeving in consultatie gegaan en deze nadere regelgeving zal, mogelijk met wat kleine wijzigingen, op 17 juli 2024 in een definitieve versie worden gepubliceerd.
In deze bijdrage staan we stil bij de nadere regelgeving die betrekking heeft op ‘het beheer van ICT-risico’s van derde aanbieders’ (we spreken verder ook over ‘IT-leveranciers’), aangezien deze in deze nadere regelgeving geformuleerde ‘Technical Standards’ voor financiële instellingen van invloed zijn op de relaties en de contractering met IT-leveranciers.
Iedere financiële instelling dient op grond van DORA te beschikken over een informatieregister met betrekking tot alle overeenkomsten die zien op het gebruik van door IT-leveranciers verleende IT-diensten (zie artikel 28 lid 3 DORA). De gezamenlijk Europese toezichthouders hebben een ‘Technical Standard’ opgesteld (die op 17 januari 2024 definitief is geworden) waarin een template voor een dergelijk informatieregister is uitgewerkt (op grond van artikel 28 lid 9 DORA). De template is een excel-document dat financiële instellingen dienen te gebruiken om invulling te geven aan de verplichting tot het bijhouden van het informatieregister.
De template omvat vele voorgeschreven velden waarin informatie dient te worden opgeslagen over een keur van onderwerpen waaronder informatie over de IT-leverancier, de soort IT-dienstverlening, informatie over het contract (begindatum, einddatum), of het al dan niet gaat om ‘kritieke of belangrijke functies’ of de verplichte contractclausules zijn opgenomen. Kortom, de template geeft duidelijkheid over wat er in het informatieregister dient te worden bijgehouden maar zal voor veel financiële instellingen behoorlijk bewerkelijk zijn.
Het belang om dit informatieregister bij te houden is onder DORA groot. Financiële entiteiten moeten immers jaarlijks aan de bevoegde autoriteit rapporteren over het aantal nieuwe overeenkomsten voor IT-dienstverlening dat is afgesloten, de categorieën van derde aanbieders, het soort contracten en de IT-diensten en functies die worden geleverd. Daarnaast moeten financiële instellingen in staat zijn om het volledige informatieregister of delen daarvan op verzoek aan de bevoegde autoriteit ter beschikking te stellen. Tot slot zijn de financiële instellingen verplicht om de bevoegde autoriteiten (aan de hand van het informatieregister) in kennis te stellen van geplande contracten met IT-leveranciers die zien op kritieke of belangrijke functies.
Op grond van artikel 28 lid 2 van DORA dienen financiële instellingen te beschikken over beleid dat betrekking heeft op derde aanbieders van IT-diensten en meer in het bijzonder op derde aanbieders van kritieke of belangrijke functies. Het gaat hierbij kort gezegd om die functies waarvan de verstoring een wezenlijke afbreuk zou kunnen doen aan de financiële prestaties, de continuïteit van dienstverlening of de naleving van vergunningvoorwaarden door de financiële entiteit.
Op basis van artikel 28 lid 10 DORA hebben de gezamenlijk Europese toezichthouders ook hier een ‘Technical Standard’ opgesteld (die op 17 januari 2024 definitief is geworden). In de nadere aanvullende regelgeving bij die Technical Standard wordt de inhoud van dat beleid in relatie tot contractuele regelingen voor derde aanbieders van kritieke of belangrijke functies nader gespecificeerd.
De regelgeving bestaat uit 10 artikelen. De eerste vier artikelen zien op de governance ten aanzien van het beleid (wie is er in welke fase van het gebruik van deze diensten verantwoordelijk). Voor de pre-contractuele fase en de contracteringsfase zijn de navolgende artikelen van belang.
Het vijfde artikel bepaalt dat de financiële instelling dient te voorzien in een ex ante risico-beoordeling. Dat betekent, voordat de financiële instelling een contract aangaat met een IT-leverancier van kritieke of belangrijke functies, een risico-beoordeling waarin de impact van de dienstverlening moet worden beoordeeld op de navolgende risico’s:
Operationele risico’s
Juridische risico’s
IT-risico’s
Reputatierisico’s
Risico’s met betrekking tot de bescherming en de beschikbaarheid van vertrouwelijke en persoonlijke data
Risico’s verbonden aan de locatie waar de data worden verwerkt
Het zesde artikel vereist dat de financiële instelling een due dilligence moet uitvoeren voordat er een contract wordt aangegaan met deIT-leverancier. Het lijkt ons dat een dergelijke due dilligence niet los kan worden gezien van de hierboven vermelde risico’s. De onderwerpen die in een due dilligence moeten worden geadresseerd lijken dan ook handen en voeten te geven aan de onder de ex ante risico-beoordeling genoemde onderwerpen.
DORA schrijft een aantal verplichte onderwerpen voor die, naast verplichte artikelen voor alle IT-dienstverleners, moeten worden opgenomen in contracten met IT-leveranciers voor kritieke of belangrijke functies. De nadere aanvullende regelgeving geeft ook op dit punt handen en voeten aan de onderwerpen die genoemd worden in artikel 28 van DORA maar daar niet verder zijn uitgewerkt.
Artikel 8 geeft wat nadere richting aan de invulling van de contractuele bepalingen die zien op toegangs-, inspectie- en auditrechten door de (auditors van) financiële instellingen. Op grond van dit artikel kan, onder strikte voorwaarden die worden genoemd, voor het invullen van de auditverplichtingen ook een beroep worden gedaan op certificeringen of eigen rapportages van de IT-leverancier.
Artikel 9 ziet op de verdere invulling van de wijze waarop een financiële entiteit ervoor kan zorgen dat belangrijke maatregelen en ‘Key Performance Indicators’ door de IT-leveranciers worden nagekomen en de wijze waarop dat kan worden gemonitored. Bij het eerste kan met name worden gedacht aan een boeteregime in een Service Level Agreement voor de naleving van serviceniveaus. Bij de monitoring zou het contract volgens dit artikel moeten voorzien in onder andere rapportageverplichtingen, een duidelijke omschrijving van serviceniveaus en melding van incidenten.
Artikel 10 tenslotte vereist dat iedere financiële instelling voor ieder contract met een IT-leverancier voor een kritieke of belangrijke functie beschikt over een gedocumenteerd exitplan. Het betreffende exitplan moet periodiek worden herzien op veranderende omstandigheden. Ook dient het exitplan te zijn getest waarbij onderbrekingen van de dienstverlening of het onverwacht eindigen van de contractuele relatie (om welke reden dan ook) in acht moet worden genomen.
Artikel 30 lid 2 DORA vereist van financiële entiteiten dat ze duidelijk maken in contractuele regelingen wanneer (verdere) uitbesteding van kritieke of belangrijke functies door een IT-leverancier aan subcontractors geoorloofd is en zo ja, onder welke condities dat mag gebeuren. Ook hier hebben de gezamenlijk Europese toezichthouders ‘Technical Standards’ opgesteld met nadere regels over de bedoelde verdere uitbesteding. Deze nadere aanvullende regeling is echter nog in consultatie en zal dan ook pas op 17 juli 2024 definitief worden.
Ondanks dat deze nadere regulering nog een concept is, bevat het een aantal belangrijke aandachtspunten voor de contractering rondom verdere uitbesteding door IT-leveranciers aan subcontractors die kritieke of belangrijke functies ondersteunen. Zo bevat de nadere regulering een aantal risico-elementen aan de hand waarvan de financiële instelling überhaupt kan besluiten of er verder kan worden uitbesteed door de IT-leverancier (zoals financiële stabiliteit, continuïteit en geografische locatie van de subcontractor). Ook dient er contractueel met de IT-leverancier te worden afgesproken dat de beoordeling van de risico-elementen die betrekking hebben op een subcontractor periodiek zullen worden herhaald.
Het is, op grond van de nadere regulering, ook de verplichting van de financiële entiteit om de gehele keten (dus inclusief subcontractors) te monitoren. Dat betekent dat er in de overeenkomsten met de IT-leveranciers concrete afspraken dienen te worden die de financiële instelling ook daadwerkelijk in staat stellen om de gehele keten te monitoren. Ook dient de financiële entiteit door de IT-leverancier te worden geïnformeerd indien er zich materiele wijzigingen voordoen met betrekking tot de subcontractor. Dat kan zowel op contractueel niveau zitten, maar ook op het niveau van de organisatie van de subcontractor. Dus ook dat betekent dat het contract een mechanisme zal moeten bevatten waarmee de financiële instelling gegarandeerd is van de betreffende informatievoorziening en deze informatievoorziening ook daadwerkelijk kan afdwingen. De financiële instelling moet namelijk de mogelijkheid hebben om zich te verzetten tegen deze materiele wijzigingen.
Tot slot bepaalt de nadere regulering dat de financiële instelling de mogelijkheid moet hebben om de overeenkomst met de IT-leverancier te beëindigen indien a) indien de IT-leverancier materiele wijzigingen ten aanzien van de subcontractor (overeenkomst) doorvoert ondanks eventuele bezwaren van de financiële instelling en b) indien de IT-leverancier kritieke of belangrijke IT-diensten uitbesteed zonder de uitdrukkelijke toestemming van de financiële instelling.
De nadere regelgeving zoals opgenomen in de ‘Technical Standards’ geven verdere invulling en verduidelijking aan DORA. Dat geldt ook voor contractering met IT-leveranciers als onderdeel van ‘het beheer van ICT-risico’s van derde aanbieders’. Althans, ten dele, want een deel van de documentatie is nog in consultatie en zal pas op 17 juli 2024 definitief worden. Voor een gedeelte kunnen financiële instellingen voor wat betreft de contractering aansluiten bij datgene dat er nu ook al geldt op grond van de uitbestedingsregels ‘Wet financieel toezicht’ en de (EIOPA, EBA en ESMA) guidelines. Alleen gelden op grond van DORA (en de in aanvulling daarop nu bekende ‘Technical Standards’) een aantal nieuwe vereisten of zijn er toch wel verschillen voor onderwerpen die ook nu al geadresseerd zouden moeten zijn. Een hele puzzel, en de tijd voor het oplossen van de puzzel begint te dringen, nu DORA in januari 2025 van kracht wordt.
(1) https://www.turing.law/nl/dora-de-gevolgen-voor-ict-en-cloudleveranciers-deel-i/
(2) https://www.turing.law/nl/dora-de-gevolgen-voor-de-it-leverancier-deel-ii/
