DORA - Verordening Digitale Operationele Weerbaarheid
De Verordening over digitale operationele weerbaarheid (DORA) brengt minimumvereisten voor de digitale weerbaarheid van financiële instellingen en stelt regels om de risico’s bij uitbestedingspartijen te beheersen. Ook pensioenfondsen moeten voor 17 januari 2025 aan de vereisten voldoen.
Lagere regelgeving wordt nog ontwikkeld. De Europese toezichthouders consulteerden in de zomer van 2023 een eerste set concept-lagere regelgeving. Het betreft eisen aan het ICT-risicomanagement; contractvoorwaarden die moeten worden afgesloten met aanbieders van ICT-diensten; een methode voor de classificatie van ernstige ICT-gerelateerde incidenten. Over ernstige incidenten moet worden gerapporteerd aan de toezichthouder; en een format voor een informatieregister, waarin de ICT-uitbestedingsketen wordt bijgehouden.
Zie onze consultatiereactie hier. In januari 2024 hebben Europese toezichthouders een definitief voorstel voor een eerste set lagere regelgeving gepubliceerd. In maart 2024 heeft de Europese Commissie die ondersteund. Er zijn tekstuele wijzigingen aangebracht die in sommige gevallen betekenen dat verplichtingen in de RTS onder een ander artikel of lid zijn ondergebracht. Inhoudelijk zijn er geen wijzigingen aangebracht. Het Europees Parlement en de Raad hebben nu alleen nog de mogelijkheid om de gehele RTS’en te verwerpen. Dat is zeer onwaarschijnlijk. Deze RTS’en kunnen dus als definitief beschouwd worden. Pensioenfondsen kunnen dus aan de gang om de eerste set lagere regelgeving te implementeren. De Europese Commissie heeft de templates van het Informatieregister nog niet gepubliceerd. Deze volgen binnenkort.
In december 2023 hebben toezichthouders een tweede set concept-lagere regelgeving ter consultatie gepubliceerd. Die gaat over de rapportage van ICT-gerelateerde incidenten; cybersecurity testen (threat-led penetration testing); de berekening van kosten en verliezen van ernstige ICT-gerelateerde incidenten; de (onder-)uitbesteding van kritieke en belangrijke functies; en het toezicht op kritieke derde ICT-aanbieders. De Pensioenfederatie heeft gereageerd en de reacties zijn hier te vinden. Uiterlijk 17 juli publiceren de Europese toezichthouders het definitieve voorstel voor de tweede set lagere regelgeving.
Inzet Pensioenfederatie
De Pensioenfederatie is met regelgevers en toezichthouders in gesprek voor werkbare en doeltreffende toepassing van de DORA. En het helpt haar leden bij (samenwerking bij) implementatie van de nieuwe vereisten.
De werkgroep DORA van de Pensioenfederatie geeft feedback op concept-lagere regelgeving. Tot nu toe zien we te weinig aandacht voor de specificiteit van pensioenuitvoering. Te strakke voorschriften zouden ervoor zorgen dat pensioenfondsen de beperkte middelen niet besteden daar waar de grootste risico’s spelen. Verder zou er meer oog moeten zijn voor proportionele toepassing van de wetgeving.
De Pensioenfederatie helpt haar leden door onduidelijkheden in de wet en lagere regelgeving te duiden. Ook wordt gewerkt aan sectorbrede interpretaties. In dat kader worden de volgende documenten gedeeld:
Q&A DORA
Met dit Q&A-bestand geeft de Pensioenfederatie haar leden antwoord op veelgestelde vragen bij de implementatie van DORA. Dit document is op 12 juli bijgewerkt. Het zal worden aangevuld naargelang er meer vragen gesteld worden en nieuwe informatie beschikbaar komt.
Template Amendement met vereisten DORA
De artikelen 28 en 30 DORA en RTS over onderuitbesteding bevatten verschillende vereisten die opgenomen moeten worden in contracten met ICT-dienstverleners. Alle contracten dienen daarom aangepast te worden. Om de impact op zowel pensioenfondsen als ICT-dienstverleners te minimaliseren, hebben verschillende brancheverenigingen in de financiële sector (Verbond van Verzekeraars, DUFAS en VV&A) besloten om samen een template amendement op te stellen. Dit amendement bevat alle noodzakelijke clausules voorgeschreven onder DORA.
Er zijn twee template amendementen gemaakt. Eén voor ICT-dienstverleners die ICT-diensten aanbieden die kritieke of belangrijke-functies ondersteunen. En er is één template amendement opgesteld voor ICT-dienstverleners die ICT-diensten aanbieden die niet-kritieke of belangrijke-functies ondersteunen. Beide template amendementen zijn zowel in het Nederlands als in het Engels beschikbaar. Daarnaast zijn hieronder vijf andere documenten te vinden. Een document met richtlijnen/guidance voor het gebruik van de template amendementen. Dit document dient vooraf zorgvuldig gelezen te worden. Een document met aandachtspunten vanuit het advocatenkantoor dat meegeholpen heeft met het opstellen van de amendementen. En een document met uitleg (explanatory notes) over dit initiatief dat wel gedeeld kan worden met ICT-leveranciers, om hen meer achtergrondinformatie te geven. En twee documenten waarin de verschillen zijn weergegeven tussen de eerder gepubliceerde versie en de finale versie, zowel in het Nederlands als Engels.
In april 2024 is het template amendement voor kritieke of belangrijke functies uitgebracht op basis van een draft RTS. In september 2024 is de RTS definitief geworden, en de wijzigingen tussen de draft RTS en definitieve RTS zijn verwerkt in het template amendement. Alleen de template amendementen voor de kritieke of belangrijke functies zijn gewijzigd.
Omdat alle documenten gebruikt worden in de onderhandelingen tussen pensioenfondsen en hun ICT-leverancier, zijn deze documenten alleen beschikbaar voor de leden van de Pensioenfederatie en mogen niet publiek verspreid worden.
Wetteksten, lagere regelgeving en uitingen toezichthouders