DORA - Verordening Digitale Operationele Weerbaarheid

Lagere regelgeving wordt nog ontwikkeld. De Europese toezichthouders consulteerden in de zomer van 2023 een eerste set concept-lagere regelgeving. Het betreft eisen aan het ICT-risicomanagement; contractvoorwaarden die moeten worden afgesloten met aanbieders van ICT-diensten; een methode voor de classificatie van ernstige ICT-gerelateerde incidenten. Over ernstige incidenten moet worden gerapporteerd aan de toezichthouder; en een format voor een informatieregister, waarin de ICT-uitbestedingsketen wordt bijgehouden.

Zie onze consultatiereactie hier. In januari 2024 hebben Europese toezichthouders een definitief voorstel voor een eerste set lagere regelgeving gepubliceerd. In maart 2024 heeft de Europese Commissie die ondersteund. Er zijn tekstuele wijzigingen aangebracht die in sommige gevallen betekenen dat verplichtingen in de RTS onder een ander artikel of lid zijn ondergebracht. Inhoudelijk zijn er geen wijzigingen aangebracht. Het Europees Parlement en de Raad hebben nu alleen nog de mogelijkheid om de gehele RTS’en te verwerpen. Dat is zeer onwaarschijnlijk. Deze RTS’en kunnen dus als definitief beschouwd worden. Pensioenfondsen kunnen dus aan de gang om de eerste set lagere regelgeving te implementeren. De Europese Commissie heeft de templates van het Informatieregister nog niet gepubliceerd. Deze volgen binnenkort.

In december 2023 hebben toezichthouders een tweede set concept-lagere regelgeving ter consultatie gepubliceerd. Die gaat over de rapportage van ICT-gerelateerde incidenten; cybersecurity testen (threat-led penetration testing); de berekening van kosten en verliezen van ernstige ICT-gerelateerde incidenten; de (onder-)uitbesteding van kritieke en belangrijke functies; en het toezicht op kritieke derde ICT-aanbieders. De Pensioenfederatie heeft gereageerd en de reacties zijn hier te vinden. Uiterlijk 17 juli publiceren de Europese toezichthouders het definitieve voorstel voor de tweede set lagere regelgeving.

Inzet Pensioenfederatie

De Pensioenfederatie is met regelgevers en toezichthouders in gesprek voor werkbare en doeltreffende toepassing van de DORA. En het helpt haar leden bij (samenwerking bij) implementatie van de nieuwe vereisten.

De werkgroep DORA van de Pensioenfederatie geeft feedback op concept-lagere regelgeving. Tot nu toe zien we te weinig aandacht voor de specificiteit van pensioenuitvoering. Te strakke voorschriften zouden ervoor zorgen dat pensioenfondsen de beperkte middelen niet besteden daar waar de grootste risico’s spelen. Verder zou er meer oog moeten zijn voor proportionele toepassing van de wetgeving.

De Pensioenfederatie helpt haar leden door onduidelijkheden in de wet en lagere regelgeving te duiden. Ook wordt gewerkt aan sectorbrede interpretaties. In dat kader worden de volgende documenten gedeeld:

• Template voor GAP analyse DORA
• Vergelijking Good Practice Informatiebeveiliging DNB 2019 met de geactualiseerde versie
• Elementen cybersecurity awareness training

Wetteksten, lagere regelgeving en uitingen toezichthouders

• Wetstekst
• Eerste set definitieve lagere regelgeving
• RTS Incidentclassificatie (gerelateerd aan DORA Artikel 18.3);  
• RTS ICT-risicomanagement (gerelateerd aan DORA Artikel 15 & 16);
• RTS ICT-uitbesteding (gerelateerd aan DORA Artikel 28.10);
• RTS Criteria voor aanwijzing van kritieke derde aanbieders (gerelateerd aan DORA Artikel 31.6)
• RTS Oversightkosten kritieke derde aanbieders (gerelateerd aan DORA Artikel 42.3) 
• Eerste set definitieve concept-lagere regelgeving
• Tweede set concept-lagere regelgeving
• Samenvattende presentatie door Europese toezichthouders
• DNB Update Q&A en Good Practice Informatiebeveiliging december 2023
• AFM DORA updates