{"id":7037,"date":"2024-06-19T10:00:39","date_gmt":"2024-06-19T10:00:39","guid":{"rendered":"https:\/\/bartolus.nl\/?p=7037"},"modified":"2024-06-20T12:40:08","modified_gmt":"2024-06-20T12:40:08","slug":"uitbesteding-van-it-processen-onder-dora","status":"publish","type":"post","link":"https:\/\/bartolus.nl\/en\/uitbesteding-van-it-processen-onder-dora\/","title":{"rendered":"Uitbesteding van IT-processen onder DORA: hou deze aandachtspunten in de gaten"},"content":{"rendered":"
<\/div><\/div>
<\/div><\/div>
\n\t
<\/div>\n\t\t
\n\t\t\t
\n\t\t\t\t\r\n\t
\r\n\t\t
\r\n\t\t\t

De Digital Operational Resilience Act (DORA) legt specifieke regels op voor de uitbesteding van IT-processen door financi\u00eble instellingen, zoals fondsbeheerders, vermogensbeheerders en pensioenfondsen. Deze regels zijn bedoeld om de digitale operationele weerbaarheid van deze instellingen te versterken. Om te voldoen aan deze extra regels, is het belangrijk om bepaalde aandachtspunten in de gaten te houden.<\/p>\n

IT-uitbestedingsregister<\/strong><\/p>\n

DORA vereist dat financi\u00eble instellingen een register bijhouden van alle IT-dienstverleners die ze inschakelen. Dit register moet meer informatie bevatten dan de huidige uitbestedingsregisters: bijv. details over de uitbestede IT-processen, de beoordeling van de IT-dienstverlener en de gemaakte afspraken met de IT-dienstverlener.<\/p>\n

Dit IT-uitbestedingsregister heeft twee doelstellingen:<\/p>\n

    \n
  1. Het dwingt je als financi\u00eble instelling om overzicht te houden en exact te weten met welke IT-dienstverlener je zaken doet en wat de operationele risico\u2019s zijn van deze samenwerking.<\/li>\n
  2. Het stelt de toezichthouders van een financi\u00eble instelling (in Nederland: AFM en DNB) in staat nauwkeuriger toezicht te houden op deze financi\u00eble instelling.<\/li>\n<\/ol>\n

    Het is dus belangrijk om te controleren welke informatie rondom je ingeschakelde IT-dienstverleners al is vastgelegd en welke volgens de DORA-vereisten nog ontbreekt. Hier<\/a> zie je hoe zo\u2019n IT-uitbestedingsregister eruit moet komen te zien.<\/p>\n

    IT-contracten<\/strong><\/p>\n

    DORA stelt eisen aan de inhoud van IT-contracten. Bijvoorbeeld wat de afgesproken service levels<\/em> zijn, welke belangrijke bedrijfsprocessen ondersteund worden \u00e9n het IT-contract moet een clausule bevatten die de financi\u00eble instelling het recht geeft om een audit uit te voeren bij de IT-dienstverlener. In het verleden was het met name bij grote IT-dienstverleners uit de Verenigde Staten moeilijk om zo een auditrecht in het IT-contract opgenomen te krijgen.<\/p>\n

    De IT-contracten tussen financi\u00eble instellingen en hun IT-dienstverleners zullen dus in veel gevallen opnieuw beoordeeld moeten worden. In overleg moeten deze contracten aangepast worden om te voldoen aan DORA.<\/p>\n

    Beleid voor IT-dienstverleners<\/strong><\/p>\n

    DORA vereist dat financi\u00eble instellingen een beleid hebben voor het inschakelen van IT-dienstverleners. Dit beleid moet een risicobeoordelingsproces bevatten, evenals richtlijnen voor de monitoring van de IT-dienstverleners en back-up plannen.<\/p>\n

    Volgens DORA moet het beleid voor IT-dienstverleners in ieder geval een due diligence proces bevatten. Dit proces houdt in dat financi\u00eble instellingen de volgende zaken onderzoeken van hun IT-dienstverleners:<\/p>\n