In januari 2023 trad de Digital Operations Resilience Act (DORA) in werking, een Europese verordening die tot doel heeft de weerbaarheid van financiële ondernemingen tegen cyberdreigingen te vergroten. Deze verordening heeft aanzienlijke gevolgen voor de financiële sector, waarbij de nadruk ligt op het harmoniseren van IT-vereisten en het verminderen van scheefgroei tussen cyberdreigingen en weerbaarheid.
Wat betekent DORA voor financiële ondernemingen?
Financiële ondernemingen, zoals vermogens- en fondsbeheerders, worden geconfronteerd met strikte uitbestedingsregels, met als doel ervoor te zorgen dat de controle over bedrijfsprocessen behouden blijft en toezichthouders adequaat toezicht kunnen houden. Bij uitbesteding van kritieke IT-gerelateerde bedrijfsprocessen moeten organisaties letten op de eisen van DORA en de bijbehorende richtlijnen.
Uitbesteding: meer dan alleen kostenbesparing
Hoewel uitbesteding voor veel financiële ondernemingen logisch lijkt, gezien de mogelijkheid om experts in te huren tegen scherpere tarieven, moeten zij zich bewust zijn van de kritische blik van toezichthouders. Concentratierisico’s, zoals het uitbesteden door een groot deel van de vermogensbeheermarkt aan één partij, worden door toezichthouders als potentieel gevaarlijk beschouwd.
De fragmentatie van uitbestedingsregels
De uitbestedingsregels in de financiële sector zijn gefragmenteerd, variërend van regelgeving op nationaal niveau tot Europese voorschriften. Financiële ondernemingen moeten nauwkeurig evalueren onder welke regelgeving ze vallen. Niet alle uitbestedingen vallen onder deze regels; bijvoorbeeld, het uitbesteden van cateringdiensten is niet gebonden aan specifieke regelgeving, terwijl het vragen van vermogensadvies wél als uitbesteding kan worden beschouwd.
Risicobeheer bij uitbesteding: De ABC’s
Om te voldoen aan de DORA-voorschriften en de eisen van toezichthouders, is het essentieel om de risico’s van uitbesteding effectief te beheren en te managen. Dit omvat:
A. Analyse van risico’s: Een grondige analyse van de potentiële risico’s bij uitbesteding is cruciaal. Organisaties moeten een proactieve benadering hanteren om risico’s te verminderen en de veerkracht van bedrijfsprocessen te waarborgen.
B. Borgen van afspraken: Het documenteren van duidelijke afspraken met dienstverleners is van vitaal belang. Contracten moeten DORA-conform zijn en alle relevante aspecten van de uitbesteding omvatten.
C. Continuïteit: Het plannen voor onvoorziene omstandigheden is noodzakelijk. Zorg voor een back-up dienstverlener of overweeg de mogelijkheid om de uitbestede processen intern te beheren.
Met de implementatie van nieuwe regelgeving vanuit de Europese Unie in het vooruitzicht, is het voor financiële ondernemingen van cruciaal belang om hun IT-situatie in kaart te brengen, risico’s effectief te beheersen en te voldoen aan de vereisten van de Digital Operations Resilience Act. Uitbesteding mag de controle niet ondermijnen, maar moet juist bijdragen aan een veerkrachtige en efficiënte bedrijfsvoering.
Zeker weten dat jouw bedrijfsprocessen volgens de juiste regels worden uitbesteed? Neem contact met ons op om jouw specifieke situatie te bespreken.
