Voor een risico-gebaseerde en proportionele toepassing van DORA
[ENGLISH BELOW] De Pensioenfederatie heeft gereageerd op consultaties over een eerste set concept-lagere regelgeving van de Digital Operational Resilience Act (DORA) – een wet op informatiebeveiliging.
De Europese toezichthouders consulteren hun ideeën voor uitwerking van een ICT risicomanagement raamwerk, criteria voor classificatie van ICT-gerelateerde incidenten, vormgeving van informatieregisters en contractvoorwaarden voor ICT-dienstverleners.
We observeren dat er wordt gekozen voor een rules-based aanpak, waarbij er geen oog is voor de specificiteit van de pensioensector. Veel voorgestelde maatregelen dragen niet (effectief) bij aan een betere operationele weerbaarheid van pensioenfondsen. Dit terwijl de DORA-wetstekst wel aandacht heeft voor de hechte relatie tussen pensioenfonds en pensioenuitvoeringsorganisatie (PUO); en de proportionele toepassing van DORA op pensioenfondsen. We vragen aandacht voor een proportionele toepassing van regelgeving.
Verder pleiten we voor een risk-based en principle-based toepassing van de wetgeving. Hiermee zouden pensioenfondsen en PUOs de ruimte krijgen om in de controls op informatiebeveiliging te focussen op de meest belangrijke risico’s. Dit is ook de aanpak van de bestaande DNB Good Practice Informatiebeveiliging.
Een belangrijk nieuw element onder DORA is het melden van ICT-gerelateerde incidenten. De criteria voor de classificatie van ‘ernstige ICT-gerelateerde incidenten’ zijn te ruim geformuleerd. Daardoor kunnen zelfs incidenten zonder impact op kritieke of belangrijke functies geclassificeerd worden als ‘ernstig’. Dat zou niet mogen gebeuren.
De consultatiereacties kunnen hier gevonden worden:
---
The Dutch Federation of Pension has responded to consultations on a first set of draft technical standards on the Digital Operational Resilience Act (DORA) - an information security law.
European regulators consulted their ideas for detailing an ICT risk management framework, criteria for classification of ICT-related incidents, design of information registers and contractual arrangements on the use of ICT services.
We observe that a rules-based approach is taken, with no regard for the specificities of the pension sector. Many proposed measures do not contribute (effectively) to pension funds’ operational resilience. Unlike the DORA act, the draft technical standards do not address the close relationship between a pension fund and its service provider(s), nor the proportionate application of DORA to pension funds. We ask for a proportionate application of regulations.
We advocate a risk-based and principle-based application of DORA. This would give pension funds and their service providers room to focus on the most important elements in information security controls. Supervisory guidelines set by the Dutch Central Bank in its Good Practice on Information Security could be taken as a good practice.
An important new element under DORA is the reporting of ICT-related incidents. The criteria for classifying ‘major ICT-related incidents' are formulated too broadly. As a result, even incidents with no impact on critical or important functions can be classified as ‘major’. This should not be the case.
The consultation responses can be found here: