Michel Klompmaker
De impact van DORA, de Digital Operational Resilience Act mag niet onderschat worden. Dat is de conclusie van het interview dat we hadden met de heren Arthur Koreman en Robert Lobo van Mylette. Feitelijk is DORA al sinds 17 januari 2023 van kracht, maar financiële instellingen hebben tot 17 januari 2025 de tijd om hun activiteiten in lijn te brengen met de vereisten van deze EU-verordening. Er is dus niet veel tijd meer te verliezen om de volwassenheid van de ICT-risicobeheerorganisatie te testen.
Kunnen jullie nog even het algemene kader van DORA schetsen?
Arthur Koreman: “De DORA-verordening raakt meer dan 22.000 financiële instellingen die in de EU actief zijn: niet alleen traditionele spelers zoals beurzen, banken, verzekeraars en pensioenfondsen, maar ook aanbieders van crypto-activa, datarapporteringsdiensten, clouddiensten en ICT-dienstverleners. De financiële instellingen hebben tot 17 januari 2025 de tijd om hun activiteiten in lijn te brengen met de uitgebreide vereisten van DORA. De details van de regelgeving worden steeds duidelijker. De eerste verdieping van de Regulatory Technical Standards (RTS) en de Implementing Technical Standards (ITS) zijn begin van dit jaar gepubliceerd. Tegelijk met DORA is de richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) gepubliceerd. Deze Europese richtlijn is gericht op het vergroten van de digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten in de Europese Unie.”
De verordening schijnt uniek te zijn vanwege de holistische aanpak. Kunnen jullie dat toelichten?
Robert Lobo: “De verordening is uniek door de invoering van een holistisch wetgevingskader voor de hele EU. DORA omvat ICT-risicobeheer, operationele ICT- en cyberbeveiligingscapaciteiten en het beheer van derden voor het waarborgen van een consistente levering van ICT-diensten in de gehele waardeketen. Het toezicht wordt uitgeoefend door de Europese toezichthoudende autoriteiten. In Nederland zijn het naar verwachting zowel De Nederlandsche Bank als de Autoriteit Financiële Markten die toezicht gaan houden op naleving van de regelgeving.”
Waar liggen de risico’s?
Arthur Koreman: “Laat ik een concreet voorbeeld geven over de pensioenfondsen want die realiseren zich vaak onvoldoende dat DORA ook gevolgen heeft voor hun informatiebeveiliging. Veel van die eisen komen weliswaar terug in bestaande richtlijnen, zoals het DNB-raamwerk voor informatiebeveiliging. Maar het blijkt dat veel fondsen dit raamwerk mogelijk niet hebben geïmplementeerd.”
Robert Lobo: “Ook valt de impact van WTP als groots project naast DORA niet te onderschatten. De WTP vraagt inzet van ICT en business en met de inzet van uitbesteding aan partners dienen de pensioenfondsen hun ketenverantwoordelijkheid onder DORA mee te nemen. Immers, het inrichten van WTP door uitbestedingspartners, uitvoeringsorganisaties, custodians en fiduciair vermogensbeheerders vraagt regie over de gehele keten. Pensioenfondsen moeten daar grip op houden.”
Er zal dus tempo gemaakt moeten worden met DORA. Hebben jullie ergens de oplossing op de plank liggen?
Robert Lobo: “We zijn bescheiden, maar we hebben wel een mooi nieuw systeem ontwikkeld om niet financiële risico’s op een eenvoudige en transparante manier in kaart te brengen. Dat systeem heet ORCA en kan snel en makkelijk rapportages maken en biedt daarmee ondersteuning aan de processen voor certificering. Het systeem ondersteunt het Three Lines of Defense model en frameworks als DORA, ISO en ISAE3402. Het is flexibel aan te passen, maar het grote voordeel is de lagere “Cost of Control‘, waarbij de klant over een hogere risk awareness beschikt en sneller kan reageren op incidenten. Onze web-based oplossing is toegankelijk na de toekenning van rechten en is flexibel in te richten in functies en processen van de organisatie van onze klanten.”
Arthur Koreman: “Onze oplossing is eenvoudig en kan tevens de risico’s rondom het proces van implementatie een goede rol spelen. De oplossing trekt de organisatie weg van de Excel sheets en zo ontwikkeld dat ook Compliance haar maatregelen op kan nemen.”
Heren, dank voor dit interview en succes met uw activiteiten.
Arthur Koreman & Robert Lobo: “Graag gedaan en in dit verband wijzen we de lezer nog even op onze White paper die bij jullie op het platform staat en die men gratis kan downloaden.”
