Op 11 mei 2022 bereikte de Europese Unie (EU) voorlopig akkoord over de nieuwe Digital Operational Resilience Act (DORA). Ondanks de formulering is er niets 'voorlopigs' aan DORA. In feite is een van 's werelds meest verreikende cyberbeveiligingsregels voor financiële diensten en hun toeleveringsketens grotendeels een uitgemaakte zaak.
Het enige dat overblijft vóór de formele goedkeuring, die ergens in oktober wordt verwacht, omvat voornamelijk een handvol technische wijzigingen en vertalingen in de 24 officiële talen van de EU-lidstaten.
DORA vertegenwoordigt het antwoord van de EU op het steeds toenemende aantal cyberaanvallen tegen financiële instellingen. Het is ontworpen om de veiligheid van financiële bedrijven in de EU, zoals banken, verzekeringsmaatschappijen, beleggingsondernemingen en meer, te versterken door eisen op het gebied van veerkracht op te leggen en de toeleveringsketen te reguleren. Maar zoals ik in een eerdere berichtstrekken de uitgangspunten van DORA zich uit tot ver buiten de EU en haar financiële sector.
De uniforme eisen van DORA voor de beveiliging van netwerk- en informatiesystemen omvatten niet alleen ondernemingen in de financiële sector, maar ook kritische externe leveranciers die informatie- en communicatietechnologie-gerelateerde diensten aan de financiële sector leveren, zoals cloudplatforms en data-analyse.
Het bereik van DORA strekt zich uit tot vrijwel elke onderneming die diensten op het gebied van informatie- en communicatietechnologie (ICT) aanbiedt die van cruciaal belang worden geacht voor de toeleveringsketen die de Europese financiële sector ondersteunt – ongeacht of die onderneming of dienst al dan niet binnen de EU is gevestigd. In feite worden onder DORA de complexiteit van de toeleveringsketen of het gebrek aan aanwezigheid van de EU beide als risicofactoren beschouwd.
Het verplicht stellen van nieuwe perspectieven op regelgevingsgebied
DORA is uniek omdat het een nieuw en ander niveau van toezicht biedt aan een grote verscheidenheid aan mondiale ondernemingen. DORA's eisen mandaat – niet louter suggereren – dat de bepalingen ervan worden nageleefd. Net zo belangrijk is dat de impact van dit nieuwe niveau van toezicht verschilt afhankelijk van het standpunt van de onderneming.
Financiële instellingen die gewend zijn aan een regelgevingsklimaat dat primair is ontworpen om financiële risico's en stabiliteit te beoordelen, zullen nu het potentiële risico dat hun ICT-activiteiten met zich meebrengt net zo serieus moeten nemen. Financiële instellingen zijn gewend risico’s aan te pakken in de vorm van kapitaalvereisten. DORA hanteert een andere aanpak door specifiek gedrag en op prestaties gebaseerde eisen op te leggen. Vanuit het perspectief van financiële instellingen heeft deze verhoging van het risico gevolgen voor meerdere aspecten van hun bedrijfsvoering, zoals de manier waarop zij technologie consumeren en hoe zij hun bedrijf transformeren door over te stappen op nieuwe technologieën zoals cloud computing. Dit omvat algemene strategieën en mogelijkheden voor risicobeheer, beveiliging van de toeleveringsketen, personeel en beleid van de organisatie om een goede ICT-risicobeoordeling en -naleving te garanderen.
DORA verandert ook het regelgevingsperspectief van ICT-organisaties. Tot nu toe zijn ze vooral gereguleerd op het gebied van gegevensgerelateerde kwesties, zoals gegevensprivacy en het melden van datalekken, op basis van zorgen over persoonlijke gegevens en politieke doelstellingen zoals digitale soevereiniteit. Baanbrekende regels, zoals de Algemene Verordening Gegevensbescherming (AVG) in Europa, en de recentere California Consumer Privacy Act (CCPA) in de Verenigde Staten, komen mij voor de geest.
ICT-organisaties kunnen ook andere wettelijke verplichtingen op het gebied van beveiliging hebben, of zijn geclassificeerd als kritieke infrastructuur, afhankelijk van waar ze zich bevinden, bijvoorbeeld onder de Richtlijn Netwerk- en Informatiebeveiliging (NIS) in Europa, de Cybersecuritywet 2018 in Singapore, of sectorspecifieke wetgeving voor gespecialiseerde industrieën, zoals telecom in de Verenigde Staten.
Als ICT-bedrijven financiële instellingen in de EU bedienen, zullen zij hoogstwaarschijnlijk ook onder de DORA vallen. Dus, naast hun eerdere regelgevingskaders, zullen de ICT-aanbieders die zijn aangewezen als het aanbieden van een cruciale dienst plotseling onder DORA worden gereguleerd op een manier die heel erg voelt alsof ze steeds extensies van de financiële instellingen in de EU die zij bedienen. Hoe je het ook bekijkt, het is een dramatische verandering – voor zowel financiële instellingen als ICT-aanbieders.
Maar dat is niet alles. DORA verandert het perspectief voor het regelgevende establishment van de EU. Toezichthouders die experts zijn op het gebied van de naleving van financiële instellingen moeten nu hun reikwijdte uitbreiden naar ICT-aanbieders die cruciale diensten aanbieden, zoals cloudproviders, data-analysediensten en andere niet-financiële bedrijven. In landen met complexe regelgevingsstructuren zal er ook de noodzaak bestaan om samen te werken met andere instanties die belast zijn met het reguleren van deze aanvullende soorten niet-financiële industrieën.
De uitdagingen aangaan
DORA vereist dat financiële instellingen in de EU hun eigen volwassenheid op het gebied van cyberbeveiliging en risicobeheer beoordelen. Het begrijpen en beheren van de risicoprestaties van hun toeleveringsketen zal hierbij centraal staan.
Over het algemeen zijn financiële instellingen bedreven in stresstests om de veiligheid en financiële stabiliteit te bepalen. Het is een andere uitdaging om dit soort tests uit te breiden naar andere organisaties. Voor de financiële sector van de EU is het dus de grootste puzzel hoe leveranciers, risicobeheer en operationele capaciteiten moeten worden beheerd in een steeds complexere en uitgebreidere toeleveringsketen.
Een financiële instelling kan bijvoorbeeld haar hoofdkantoor in Europa hebben, maar al haar ondersteunende activiteiten hebben uitbesteed aan bedrijven in India. Deze ondersteunende diensten zijn technisch gezien mogelijk geen financiële instellingen. Maar DORA zal van de financiële instelling eisen dat zij beoordeelt of de verkoper cruciaal is voor haar activiteiten en dat zij de relevante DORA-vereisten op die relatie toepast.
Voor ondernemingen die niet in de EU zijn gevestigd, is de belangrijkste kwestie die van jurisdictie en markttoegang. Financiële instellingen of ICT-aanbieders die buiten de EU actief zijn, worden niet getroffen. Maar als de onderneming een financiële instelling of ICT-dienstverlener is die op enigerlei wijze de financiële sector van de EU bedient, zal zij hoogstwaarschijnlijk onderworpen zijn aan DORA – direct of indirect.
Aftellen naar 2024
Tenzij er iets verandert in de definitieve tekst, treedt DORA 24 maanden na de officiële goedkeuring in werking. Realistisch gezien zal dat waarschijnlijk ergens eind 2024 zijn. Het goede nieuws is dat dit organisaties voldoende tijd biedt om zich voor te bereiden op naleving. Het allerbelangrijkste is dat het niet te lang duurt om te worden opgenomen in een typische bedrijfsbegrotingscyclus.
Maar voordat die deadline je besluipt, begin je met de voorbereidingen nu. Hier zijn vijf belangrijke stappen:
- Gebruik de tijd tot 2024 verstandig.
- Begrijp waar je bent. Zoek, vind en identificeer uw compliance-lacunes.
- Bepaal wat u nodig heeft om uw hiaten te verhelpen.
- Opleiden en buy-in krijgen van het senior management.
- Budget voor de 24 maanden.
De klok tikt.
