1. Waar gaat DNB vooral op letten?
“Wij houden toezicht op de beheerste en integere bedrijfsvoering bij financiële instellingen, ook op het gebied van IT-risico’s. DORA (Digital Operational Resilience Act) legt daarvoor een belangrijke wettelijke basis. Toezicht houden doen we risico-gebaseerd. We letten nu primair op een gedegen voorbereiding, zodat is geborgd dat instellingen op tijd klaar zijn. Dat kan met een gap-analyse. De instelling analyseert de huidige beheersing, houdt deze tegen de vereisten uit DORA en stelt vervolgens een risico-geprioriteerd actieplan op om geïdentificeerde manco’s tijdig te adresseren. We letten er ook op dat het bestuur zijn verantwoordelijkheid neemt en zorgt voor de juiste prioritering en voldoende draagvlak. Naast de voortgang in algemene zin, zijn belangrijke aandachtsgebieden voor ons het beheersen van uitbestedingsrisico’s, voldoende kennis en ervaring op het gebied van cyber en DORA op bestuursniveau en adequate maatregelen op het gebied van IT-continuïteit en resilience.”
2. Liggen verzekeraars op koers? Hebben jullie er met andere woorden vertrouwen in dat ze op tijd klaar zijn?
“Volgens een poll, die onlangs tijdens een webinar van het Verbond van Verzekeraars is gehouden, is ongeveer de helft van de deelnemers ‘in volle gang’ bezig met de implementatie. Tegelijkertijd is 44 procent zich nog ‘aan het inlezen’. Zeker over die laatste groep maken wij ons wel zorgen. DORA is vrij breed en legt veel verplichtingen neer bij instellingen. Het zal, ook afhankelijk van de huidige inrichting en volwassenheid van de IT-risicobeheersing, de nodige inspanning vragen van instellingen. Daarom doen we een dringende oproep om uit de startblokken te komen. Wij horen vaak dat nog niet alle teksten (in het bijzonder de onderliggende technische standaarden) definitief zijn. Maar wie wacht tot de spreekwoordelijke puntjes op de i staan, is waarschijnlijk te laat. En veel beschrijvingen zijn al wel beschikbaar. De verordening is al enige tijd definitief, de eerste batch aan technische standaarden is al gepubliceerd en ter goedkeuring naar de Europese Commissie gestuurd en de tweede batch is in consultatie geweest. Instellingen kunnen (moeten eigenlijk) hier mee aan de slag. Dat geldt bijvoorbeeld voor het inrichten van het informatieregister, het aanpassen van ICT-contracten, het creëren van bewustwording bij leveranciers en het zorgdragen voor het ICT-risicomanagement raamwerk.”
3. Klinkt makkelijker gezegd dan gedaan, want een van de elementen van DORA is dat verzekeraars straks ook verantwoordelijk zijn voor de IT-dienstverleners waarmee ze zakendoen. Hoe krijgen ze daar grip op?
“Instellingen, en in het bijzonder hun bestuur, zijn in principe altijd al verantwoordelijk voor de beheersing van IT-risico’s binnen hun gehele uitbestedingsketen(s). Ook hierbij geldt dat we verwachten dat instellingen in actie komen op basis van documenten die al beschikbaar zijn. Anders redden ze het simpelweg niet om op tijd compliant te zijn. Acties die kunnen helpen, zijn onder meer:
- Start met het inventariseren van alle IT-dienstverleners en neem ze bij voorkeur op in één centraal register. Wij zien in de praktijk wel eens dat er bij de ene afdeling een ander register wordt gehanteerd dan bij een andere afdeling. Dat is niet handig. Zorg er ook voor dat de juiste data wordt vastgelegd, conform de ITS betreffende het informatieregister. Meer informatie is te vinden op de website van EIOPA.
- Check het bestaande uitbestedingsbeleid en kijk naar nationale regelgeving en de aanvullende DORA-regelgeving als er wordt uitbesteed aan IT-dienstverleners die ondersteunend zijn aan een kritieke functie.
- Controleer de bestaande contracten en houdt de bepalingen die hierin zijn opgenomen naast de verwachtingen die voortvloeiend uit DORA. Pas waar nodig die contracten aan.
- Heel belangrijk is ook om goede afspraken te maken over de manier waarop IT-dienstverleners aan de verzekeraar kunnen rapporteren dat zij conform de DORA-verwachtingen hun IT-beheersing op orde hebben. De huidige assurance/verantwoordingsrapportages zijn hiervoor vaak niet toereikend.
- Tot slot adviseren wij om tijdig de dialoog met de leveranciers op te zoeken. Sommigen zullen al veel weten over DORA en zijn up-to-date, maar voor andere leveranciers is het wellicht nog niet top of mind. Als een leverancier niet mee kan of wil, verbindt daar dan ook consequenties aan.”
DORA-clausules
Het Verbond van Verzekeraars werkt samen met Dufas en de Pensioenfederatie aan DORA-clausules, zodat contracten met leveranciers DORA-compliant kunnen worden. Deze clausules worden door een extern advocatenkantoor opgesteld en zijn naar verwachting aan het einde van het eerste kwartaal beschikbaar voor de leden van het Verbond.
4. En wat nou als een leverancier weigert mee te werken aan het wijzigen van een lopende overeenkomst? Hoe gaan jullie daarmee om?
“Dat is meer een vraag voor de instelling zelf dan voor DNB. DORA is uiteindelijk de wet. Wij zien toe op de naleving. Dat doen we, zoals gezegd, risico-gebaseerd, maar als een leverancier blokkades opwerpt, is het toch echt aan de instelling om daar consequenties aan te verbinden. Zij moet de beheersing van IT-risico’s over de hele keten aantoonbaar borgen. En de instelling moet zich realiseren dat zij hiervoor ook verantwoordelijk is.”
"Als een leverancier blokkades opwerpt, is het toch echt aan de instelling om daar consequenties aan te verbinden"
5. In de verzekeringssector is wel duidelijk dat DORA leeft. Merken jullie dat ook?
“We zien zowel in de markt als bij DNB de nodige aandacht voor DORA. Dat blijkt ook uit het aantal deelnemers aan de seminars die DNB organiseert of het webinar van het Verbond van Verzekeraars. Ik heb begrepen dat er op het piekmoment bijna 300 kijkers waren. Daarnaast ontvangen wij de nodige vragen van instellingen. Soms zijn dat heel specifieke vragen, waaruit blijkt dat de instelling serieus met de implementatie van DORA aan de slag is. Als het gaat om een interpretatievraagstuk of iets dat extra duiding vraagt, dan wijzen we ook op de Q&A van de Europese toezichthouder (EIOPA). Deze Q&A is niet bedoeld voor instelling specifieke vraagstukken. Het gaat meer om de algemene interpretatie. Tot slot krijgen wij ook veel vragen over onze verwachting van bepaalde artikelen. Bij voorkeur behandelen we dat soort vragen via een centraal orgaan, zoals het Verbond, om te borgen dat alle instellingen over dezelfde informatie beschikken. We moedigen instellingen dan ook aan vraagstukken onderling te bespreken.”
Meer weten over de impact van DORA? Lees ons interview SLAAT DORA DOOR met de voorzitter van de Insurance-ISAC Martin van Vessem.