Pensioenfederatie: PUOs zijn geen kritieke ICT-dienstverleners
De Pensioenfederatie vindt dat pensioenuitvoeringsorganisaties (PUOs) niet moeten worden aangewezen als kritieke derde aanbieders van ICT-diensten onder DORA. Er is geen reden voor extra toezicht op PUOs.
De Pensioenfederatie heeft gereageerd op een consultatie over het aanwijzen van kritieke derde aanbieders van ICT-diensten (CTPPs). De Digital Operational Resilience Act (DORA) Verordening gaat over informatiebeveiliging voor de financiële sector. De wet moet uiterlijk 17 januari worden geïmplementeerd. Lagere regelgeving wordt nu ontwikkeld.
DORA geeft extra eisen aan ICT-leveranciers van financiële instellingen. De CTPP-aanwijzing is bedoeld om Big Tech partijen die van systemisch belang zijn voor de stabiliteit van de financiële sector onder Europees toezicht te stellen. Daarbij moet gedacht worden aan bijvoorbeeld clouddiensten- en softwareaanbieders.
Enkele Nederlandse PUOs dreigen hieronder te vallen, omdat zij onder de voorgestelde criteria vallen van ‘dienstverlening aan 10% van het beheerd vermogen van een type financiële entiteit’. Meerdere PUOs bedienen 10% van het vermogen van Europese ‘IORPs’, pensioeninstellingen die vallen onder de EU IORP II Richtlijn.
Met onze reactie proberen we CTPP-aanwijzingen voor PUOs te voorkomen. In ons position paper voeren we ten eerste aan dat PUOs geen ICT-dienstverleners zijn. Ze gebruiken alleen ICT voor het verlenen van pensioendiensten.
Ten tweede is DORA-toezicht op PUOs al afdoende. PUOs komen via de fondsen onder indirect toezicht te staan. En gezien zij allemaal binnen de landsgrenzen opereren zijn er geen lacunes in toezicht. Dubbel toezicht dient te worden voorkomen.
Ten derde is het criterium ‘dienstverlening aan 10% van het beheerd vermogen van een type financiële entiteit’ niet passend voor de IORP-sector, waar Nederland een grote vis in een kleine vijver is. Een holistische analyse zou moeten uitwijzen dat de ICT-risico’s bij PUOs niet van kritisch belang zijn.
Bron: Pensioenfederatie