Pensioenfederatie kritisch op uitvoerbaarheid DORA

De Digital Operational Resilience Act (DORA) moet uiterlijk 17 januari 2025 worden geïmplementeerd. Pensioenfondsen en hun uitvoerders moeten hiermee aan de slag. De Europese toezichthouders werken aan lagere regelgeving. Zij consulteren een tweede (en laatste) set concept-lagere regelgeving.

De Pensioenfederatie reageerde op:

• het melden van ICT-gerelateerde incidenten;
• de berekening van kosten en verliezen van ernstige ICT-gerelateerde incidenten;
• onderaanbesteding van ICT-diensten; en
• het testen van cyberaanvallen.

Dit zijn onze belangrijkste aandachtspunten:

Het melden van ernstige ICT-gerelateerde incidenten aan de toezichthouder moet het oplossen van het incident niet in de weg zitten. We vragen daarom om een proportionele toepassing van de gestelde deadlines en een behapbare inhoud van de meldingen. We vragen bijzondere aandacht voor incidenten die verder in de keten plaatsvinden; deze vergen namelijk extra afstemming en tijd om te melden.

Bij de berekening van kosten en verliezen van incidenten moet een pragmatische aanpak gekozen worden waar het gaat om het volgen van het boekjaar en het maken van schattingen.

DORA legt buitenproportioneel zware verantwoordelijkheden op voor de monitoring en risicobeheersing bij onderaanbesteding van ICT-diensten in de gehele keten. Die controle moet sterker worden gefocust op de grootste uitbestedingsrisico’s.

<English>

The Dutch Federation of Pension Funds advocates for a risk-based application of DORA, formulating principles rather than strict requirements. A proportionate application of measures is important.

The Digital Operational Resilience Act (DORA) must be implemented by January 17, 2025. The European Supervisory Authorities are developing technical standards. They consult on a second (and final) set of draft technical standards.

The Dutch Federation of Pension Funds responded to

• reporting of ICT-related incidents;
• estimation of costs and losses from major incidents;
• subcontracting of ICT services; and
• testing of cyber-attacks.

Reporting major ICT-related incidents to the supervisor should not get in the way of incident resolution. We therefore ask for a proportionate application of deadlines and a manageable content of the reports. Special attention is needed for incidents occurring further down the ICT value chain, considering it takes additional time to obtain consistent information.

When calculating costs and losses from incidents, a pragmatic approach should be taken where it comes to following the fiscal year and making estimates.

DORA imposes disproportionately heavy responsibilities for monitoring and risk management of subcontracted ICT services throughout the value chain. Such monitoring should be more strongly focused on the biggest outsourcing risks.