pensioenuitvoering uitsnede 1920 - 320

DORA - Verordening Digitale Operationele Weerbaarheid

De Verordening over digitale operationele weerbaarheid (DORA) brengt minimumvereisten voor de digitale weerbaarheid van financiële instellingen en stelt regels om de risico’s bij uitbestedingspartijen te beheersen. Ook pensioenfondsen moeten voor 17 januari 2025 aan de vereisten voldoen.

Lagere regelgeving wordt nog ontwikkeld. De Europese toezichthouders consulteerden in de zomer van 2023 een eerste set concept-lagere regelgeving. Het betreft eisen aan het ICT-risicomanagement; contractvoorwaarden die moeten worden afgesloten met aanbieders van ICT-diensten; een methode voor de classificatie van ernstige ICT-gerelateerde incidenten. Over ernstige incidenten moet worden gerapporteerd aan de toezichthouder; en een format voor een informatieregister, waarin de ICT-uitbestedingsketen wordt bijgehouden.

Zie onze consultatiereactie hier. In januari 2024 hebben Europese toezichthouders een definitief voorstel voor een eerste set lagere regelgeving gepubliceerd. Dat ligt nu bij de Europese Commissie. Het is zeer onwaarschijnlijk dat die nog wijzigingen aanbrengt. Pensioenfondsen kunnen dus aan de gang om de lagere regelgeving te implementeren.

In januari 2024 hebben toezichthouders een tweede set concept-lagere regelgeving ter consultatie gepubliceerd. Die gaat over de rapportage van ICT-gerelateerde incidenten; cybersecurity testen (threat-led penetration testing); de berekening van kosten en verliezen van ernstige ICT-gerelateerde incidenten; de (onder-)uitbesteding van kritieke en belangrijke functies; en het toezicht op kritieke derde ICT-aanbieders. De Pensioenfederatie werkt aan een reactie.

Inzet Pensioenfederatie

De Pensioenfederatie is met regelgevers en toezichthouders in gesprek voor werkbare en doeltreffende toepassing van de DORA. En het helpt haar leden bij (samenwerking bij) implementatie van de nieuwe vereisten.

De werkgroep DORA van de Pensioenfederatie geeft feedback op concept-lagere regelgeving. Tot nu toe zien we te weinig aandacht voor de specificiteit van pensioenuitvoering. Te strakke voorschriften zouden ervoor zorgen dat pensioenfondsen de beperkte middelen niet besteden daar waar de grootste risico’s spelen. Verder zou er meer oog moeten zijn voor proportionele toepassing van de wetgeving.

Beschikbare informatie