De Digital Operational Resilience Act (DORA) legt specifieke regels op voor de uitbesteding van IT-processen door financiële instellingen, zoals fondsbeheerders, vermogensbeheerders en pensioenfondsen. Deze regels zijn bedoeld om de digitale operationele weerbaarheid van deze instellingen te versterken. Om te voldoen aan deze extra regels, is het belangrijk om bepaalde aandachtspunten in de gaten te houden.
IT-uitbestedingsregister
DORA vereist dat financiële instellingen een register bijhouden van alle IT-dienstverleners die ze inschakelen. Dit register moet meer informatie bevatten dan de huidige uitbestedingsregisters: bijv. details over de uitbestede IT-processen, de beoordeling van de IT-dienstverlener en de gemaakte afspraken met de IT-dienstverlener.
Dit IT-uitbestedingsregister heeft twee doelstellingen:
- Het dwingt je als financiële instelling om overzicht te houden en exact te weten met welke IT-dienstverlener je zaken doet en wat de operationele risico’s zijn van deze samenwerking.
- Het stelt de toezichthouders van een financiële instelling (in Nederland: AFM en DNB) in staat nauwkeuriger toezicht te houden op deze financiële instelling.
Het is dus belangrijk om te controleren welke informatie rondom je ingeschakelde IT-dienstverleners al is vastgelegd en welke volgens de DORA-vereisten nog ontbreekt. Hier zie je hoe zo’n IT-uitbestedingsregister eruit moet komen te zien.
IT-contracten
DORA stelt eisen aan de inhoud van IT-contracten. Bijvoorbeeld wat de afgesproken service levels zijn, welke belangrijke bedrijfsprocessen ondersteund worden én het IT-contract moet een clausule bevatten die de financiële instelling het recht geeft om een audit uit te voeren bij de IT-dienstverlener. In het verleden was het met name bij grote IT-dienstverleners uit de Verenigde Staten moeilijk om zo een auditrecht in het IT-contract opgenomen te krijgen.
De IT-contracten tussen financiële instellingen en hun IT-dienstverleners zullen dus in veel gevallen opnieuw beoordeeld moeten worden. In overleg moeten deze contracten aangepast worden om te voldoen aan DORA.
Beleid voor IT-dienstverleners
DORA vereist dat financiële instellingen een beleid hebben voor het inschakelen van IT-dienstverleners. Dit beleid moet een risicobeoordelingsproces bevatten, evenals richtlijnen voor de monitoring van de IT-dienstverleners en back-up plannen.
Volgens DORA moet het beleid voor IT-dienstverleners in ieder geval een due diligence proces bevatten. Dit proces houdt in dat financiële instellingen de volgende zaken onderzoeken van hun IT-dienstverleners:
- Goede reputatie, capaciteit, expertise en middelen:
- Betrouwbare en professionele levering van IT-diensten.
- Volgt relevante technologische ontwikkelingen.
- Heeft een effectief kader voor digitale operationele weerbaarheid.
- Gebruik van ICT-onderaannemers:
- Inzicht in de keten van verantwoordelijkheid.
- Vestiging in derde land (buiten EU):
- Beoordeling van operationele risico’s, reputatierisico’s en sancties.
- Mogelijkheid tot audits:
- Transparantie en controleerbaarheid van de dienstverlening.
- Ethische en maatschappelijke verantwoordelijkheid:
- Respect voor mensenrechten, milieu en arbeidsomstandigheden.
Deze eisen helpen financiële instellingen om de risico’s van IT-uitbesteding te beperken en hun digitale operationele weerbaarheid te versterken.
Toezicht door de AFM en DNB
De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) zullen vanaf januari 2025 toezien op de naleving van DORA. Dit betekent dat Nederlandse financiële instellingen vanaf dat moment periodiek moeten gaan rapporteren aan AFM of DNB over hun IT-uitbesteding en dat AFM en DNB onderzoek kunnen doen naar de naleving van DORA. Het betekent ook dat financiële instellingen nog maar een beperkte tijd hebben om hun IT-processen en IT-contracten aan te passen.
Zeker weten dat je IT-processen en IT-contracten op orde zijn? Wij staan voor je klaar. Wij helpen je graag met:
- GAP analyse op bestaand uitbestedingsregister waarbij we controleren welke informatie nog ontbreekt ten aanzien van IT-dienstverleners
- GAP analyse op bestaande IT-contracten of deze de nodige bepalingen bevatten. We ondersteunen je ook bij de onderhandelingen met de IT-dienstverleners
- GAP analyse op jouw IT-beleid
