De financiële sector heeft nog een paar maanden de tijd om haar IT-contracten compliant te maken met de Digital Operational Resilience Act (DORA). DORA is een Europese verordening die zich richt op het versterken van de digitale operationele weerbaarheid van de financiële sector en heeft onder andere als doel om versnipperde wet- en regelgeving op gebied van ICT-risicobeheer en ICT-uitbesteding te harmoniseren en lacunes en overlap daarin te adresseren. Vanaf 17 januari 2025 dienen financiële instellingen zoals banken, verzekeraars en beleggingsinstellingen aan de vereisten die DORA in dat kader stelt te voldoen.
Een belangrijk onderdeel van DORA gaat over het third party risk management van financiële instellingen, met vereisten die gelden voor de situatie waarin financiële instellingen voor hun gebruik van ICT-diensten derden betrekken; IT-leveranciers.
In dit artikel sommen we de elementen op die in IT-contracten die aan DORA moeten voldoen dienen te staan. Daarbij wordt onderscheid gemaakt tussen de onderwerpen die in alle IT-contracten moeten staan, en onderdelen die aanvullend moeten worden opgenomen in contracten die gaan over ICT-diensten die kritieke of belangrijke functies van financiële instellingen ondersteunen.
Belangrijk aandachtspunt is dat de contractuele vereisten niet alleen voortvloeien uit DORA zelf, maar ook uit de gedelegeerde regelgeving onder DORA (ook wel aangeduid als level-2 regelgeving); de zogenaamde technische reguleringsnormen (RTS) en technische uitvoeringsnormen (ITS) die zijn opgesteld door de gezamenlijke Europese toezichthouders voor de financiële sector EBA, EIOPA en ESMA.
De volgende elementen moeten in ieder terugkomen in een contract tussen een financiële instelling die onder het toepassingsbereik van DORA valt en haar IT-leverancier:
Dienstbeschrijving – Een duidelijke en volledige beschrijving van de te leveren ICT-diensten en functies.
Afspraken over onderuitbesteding – Een bepaling of onderuitbesteding van kritieke of belangrijke functies is toegestaan, en zo ja, onder welke voorwaarden. Indien onderuitbesteding is toegestaan dient in ieder geval overeengekomen te worden dat de IT-leverancier verantwoordelijk blijft voor het uitvoeren van de diensten, een monitoringsverplichting en rapportageverplichtingen met betrekking tot de onderuitbestede diensten, afspraken over relevante locaties, informatiebeveiliging, bepaalde waarborgen voor de continuïteit van de diensten, zoals bedrijfscontinuïteitsplannen (BCP’s) en bepaalde service levels, dat de leverancier auditrechten ten gunste van de financiële instelling en haar toezichthouders contractueel oplegt aan haar onderaannemers, en geïnformeerd wordt over wijzigingen in de onderuitbestede diensten en bepaalde beëindigingsrechten gerelateerd aan onderuitbesteding.
Locaties van de diensten en data – Een beschrijving van de locaties waar de dienst wordt geleverd en de (persoons)gegevens worden verwerkt en/of opgeslagen, en een verplichting voor de leverancier om de financiële instelling vooraf te informeren over wijzigingen hierin
Informatiebeveiliging – Afspraken ter waarborging van de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van (persoons)gegevens.
Toegang, herstel & teruggave data bij beëindiging - In de overeenkomst moeten waarborgen worden opgenomen van toegang, herstel en teruggave in bruikbaar formaat in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten.
SLA – Een beschrijving van het dienstenniveau (in de Engelse versie van DORA ‘service level descriptions’), in ieder geval op hoofdlijnen (zie ook het lijstje hierna).
Support bij incidenten – Een verplichting voor de IT-leverancier om de financiële entiteit bijstand te verlenen in het geval van incidenten, kosteloos of tegen vooraf overeengekomen tarieven
Medewerkingsverplichting – Een contractuele verplichting om volledige medewerking te verlenen aan toezichthouders c.q. bevoegde autoriteiten.
Beëindigingsrechten en minimumopzegtermijnen – De mogelijkheid tot beëindiging van de overeenkomst tenminste in geval van (i) ernstige schendingen van wet- en regelgeving door de IT-leverancier, (ii) omstandigheden die tijdens monitoren van het ICT-risico worden vastgesteld, die nadelige gevolgen kunnen hebben voor de overeenkomst of voor de IT-leverancier, (iii) klaarblijkelijke zwakheden in het beheer van ICT-risico door de IT-leverancier (vooral waar het gaat om informatiebeveiliging) en (iv) indien de toezichthouder niet langer doeltreffend toezicht kan uitoefenen, met bijbehorende passende opzegtermijnen.
Deelname bewustmakingsprogramma’s en opleidingen – Afspraken over, waar relevant, de deelname van (het personeel van) de IT-leverancier aan de bewustmakingsprogramma’s en opleidingen over operationele weerbaarheid van de financiële instelling.
Contracten die betrekking hebben op ICT-diensten die de kritieke of belangrijke functies van de financiële instelling ondersteunen, dienen in aanvulling op het bovenstaande lijstje de volgende elementen te bevatten:
SLA met KPI’s – service levels voor de volledige dienstverlening, inclusief nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen
Kennisgevingstermijnen en rapportageverplichtingen – De verplichting tot het melden van ontwikkelingen die materiële gevolgen kunnen hebben voor het vermogen van de IT-leverancier om de ICT-diensten op doeltreffende wijze te verlenen conform de overeengekomen service levels
BCP’s – Verplichting tot het inrichten en testen van bedrijfsnoodplannen en het hebben van passende ICT-beveiligingsmaatregelen, -instrumenten en -beleidslijnen
Medewerkingsverplichting TLPT – Verplichting om mee te werken aan de threat-led-penetration-tests (TLPT) van de financiële instelling, indien vastgesteld is door de instelling dat de relevante ICT-diensten in scope zijn van haar TLPT
Auditrecht – Het recht om de prestaties van de IT-leverancier permanent te monitoren, welk recht ingevuld wordt door onbeperkte rechten van toegang, inspectie en audit voor de financiële instelling zelf en haar toezichthouders met een verplichting tot volledige medewerking voor de leverancier en de verplichting voor de financiële entiteit om vooraf details over de audit of inspectie te verstrekken. Ook is er ruimte om een ander type assurance overeen te komen indien door een audit of inspectie rechten van andere cliënten van de IT-leverancier zouden worden aangetast.
Exit – Financiële instellingen moeten de mogelijkheid hebben de overeenkomst te beëindigen zonder verstoring van hun bedrijfsactiviteiten, zonder dat zij beperkt worden in hun naleving van regulatoire vereisten en zonder afbreuk te doen aan de continuïteit en kwaliteit van de diensten aan (eind)klanten. Daarnaast moet de overeenkomst afspraken bevatten over de transitie van de ICT-diensten en bijbehorende gegevens naar een andere leverancier of de financiële instelling zelf.
Dit soort eisen aan overeenkomsten zijn voor de meeste financiële entiteiten overigens niet geheel nieuw. De pre-DORA wet- en regelgeving op gebied van (ICT)uitbesteding, zoals de EBA en ESMA guidelines on outsourcing arrangements en de EIOPA guidelines for outsourcing to cloud service providers, bevatten al een reeks vergelijkbare vereisten die aan (ICT)uitbestedingsovereenkomsten worden gesteld. Op IT-contracten waarin al rekening gehouden is met de EBA-, EIOPA- of ESMA-guidelines zal een deel van de onderwerpen daarom al geregeld zijn. In dat geval volstaat een gap-analyse, en een aanvulling van de lacunes. Toch verwachten we dat er in alle gevallen wel wat werk aan de winkel is, aangezien DORA strengere vereisten bevat dan de vereisten die tot dusver golden, en er bovendien meer IT-contracten ‘in scope’ zullen zijn. De eerdergenoemde uitbestedingsrichtsnoeren zagen namelijk vooral (bijna uitsluitend) op ICT-uitbesteding van kritieke of belangrijke functies, terwijl DORA eisen stelt aan alle ICT-contracten.
