Magnifying glass Close

Adblocker is geactiveerd!

Op deze website worden advertenties getoond. Van de advertenties wordt de redactie betaald. De redactie verzorgt het nieuws op deze website. Zonder advertenties geen nieuws. Zou je je adblocker daarom willen uitschakelen

DORA heeft grote impact op de inkoop van ICT in de financiële sector  

De Digital Operational Resilience Act (DORA) moet ervoor zorgen dat de financiële sector in Europa bij ernstige operationele verstoringen veerkrachtig kan blijven functioneren. De gevolgen zijn groot voor financiële instellingen én hun ICT-leveranciers. De verwachting is dat de wet eind dit jaar goedgekeurd wordt. Bent u bekend met de gevolgen van de DORA op uw inkoopproces?

Digital Operational Resilience Act: de achtergrond

Digitale operationele veerkracht in de financiële wereld, dat is wat de DORA nastreeft. Het hoofddoel van dit wetsvoorstel is om cyberdreigingen te voorkomen en te beperken. De afhankelijkheid van digitale processen in de financiële sector neemt immers toe, terwijl het aantal gerichte cyberaanvallen verder stijgt.

Met de DORA introduceert Europa één standaard op het gebied van ICT-weerbaarheid en risicomanagement, zodat ondernemingen binnen de financiële sector bestand zijn tegen, kunnen reageren op en kunnen herstellen van alle soorten ICT-gerelateerde verstoringen en dreigingen. De nieuwe standaard geldt onder meer voor banken, verzekeraars, crowdfundingdienstverleners, handelsplatformen, kredietinstellingen en aanbieders van crypto-activadiensten.

Waarom dit relevant voor u als inkoper is?

Omdat DORA niet alleen geldt voor financiële instellingen, maar ook voor cruciale derde partijen die hen ICT-gerelateerde diensten verlenen en voor datarapporteringsdienstverleners. De DORA gaat dus een belangrijke rol spelen bij en stelt criteria aan de keuze voor en inkoop van ICT-diensten.

Deze eisen stelt de DORA aan financiële instellingen en hun ICT-dienstverleners

In de DORA staan onder meer eisen voor financiële organisaties ten aanzien van:

  • IT-risicomanagement;
  • periodieke testen van digitale weerbaarheid; en
  • de beheersing van risico’s bij uitbesteding aan (kritieke) derden.

Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van de organisaties.

De opzet van de DORA is kort samengevat als volgt :

  • Algemene bepalingen en regels inzake ICT-governance (hoofdstuk I);
  • ICT-risicobeheer (hoofdstuk II);
  • ICT-gerelateerde incidentrapportages beheren en nieuwe eisen introduceren (hoofdstuk III);
  • Digitale operationele veerkrachttesten (hoofdstuk IV);
  • Beheer van ICT-risico’s van derden (hoofdstuk V);
  • Regelingen voor informatie-uitwisseling (hoofdstuk VI).

Hoofdstuk vijf is zeer relevant voor u bij de inkoop van ICT-diensten. Het bevat een toezichtkader voor kritische externe ICT-dienstverleners (waar de financiële organisatie van afhankelijk is) om digitale risico’s te monitoren. Zo moet een kritieke externe ICT-dienstverlener over uitgebreide, degelijke en effectieve regels, procedures, mechanismen en regelingen beschikken om de ICT-risico’s te beheersen die hij voor financiële entiteiten kan opleveren.

Artikel 25 in dit hoofdstuk van de DORA stelt algemene eisen aan financiële instellingen die een contract aangaan met een ICT-leverancier. Hierin wordt ook ingegaan op zaken die geregeld moeten worden vóór het contract wordt gesloten.

In de DORA staat dat alvorens een contractuele afspraak gemaakt wordt over het gebruik van ICT-diensten, financiële entiteiten moeten:

  1. Beoordelen of de contractuele regeling het gebruik van ICT-diensten met betrekking tot een kritische of belangrijke functie dekt;
  2. Beoordelen of aan de toezichtvoorwaarden voor het sluiten van contracten is voldaan;
  3. Identificeren en beoordelen van alle relevante risico’s met betrekking tot de contractuele regeling, met inbegrip van de mogelijkheid dat dergelijke contractuele regelingen kunnen bijdragen aan het versterken van ICT-gerelateerde ‘concentratie’ risico (zie artikel 26);
  4. Alle due diligence uitvoeren met betrekking tot potentiële externe ICT-dienstverleners en er gedurende de selectie- en beoordelingsprocessen voor zorgen dat de externe ICT-dienstverlener geschikt is;
  5. Belangenconflicten identificeren en beoordelen die de contractuele regeling mogelijk met zich meebrengt.

Verder valt ook nog te lezen dat financiële entiteiten alleen contractuele afspraken mogen maken met ICT-leveranciers die voldoen aan de juiste normen voor informatiebeveiliging. Ook moeten ze ervoor zorgen dat contractuele afspraken over het gebruik van ICT-diensten onder bepaalde omstandigheden beëindigd kunnen worden en hamert DORA op een gedegen exit-strategie.

Dit is slechts een greep uit de uitgebreide regels die de DORA stelt aan het inschakelen van derde partijen voor het leveren van (kritische) ICT-diensten. Het laatste voorstel van deze Europese wetgeving treft u hier.

Bereidt u tijdig voor op de DORA

Op 11 mei 2022 hebben het Europees Parlement en de Raad een voorlopig akkoord bereikt over de wet. Eind juni van dit jaar is nog een laatste compromistekst gepubliceerd, waarin wijzigingen zijn doorgevoerd. Nu is het wachten op een definitief akkoord. De verwachting is dat de DORA eind dit jaar nog in werking zal treden, waarna financiële organisaties en hun ICT-leveranciers 24 maanden de tijd hebben om aan de vereisten te doen.

Gezien de enorme impact van deze wetgeving, is het belangrijk goed gebruik te maken van deze tijd. Verdiep u daarom nu al in de DORA (met name hoofdstuk vijf) en onderzoek wat de gevolgen van deze eisen zijn voor uw inkoopproces.

Partner van Inkoperscafé:
Partner van Inkoperscafé:

Reacties

Partner van Inkoperscafé:
Sluiten

Inloggen met

of met e-mailadres

Mis niets en ontvang een gratis e-book!

Schrijf je nu in voor de wekelijkse nieuwsbrief. Zo krijg je het laatste inkoopnieuws automatisch in je mailbox en ontvang je het e-book 'ICT-contracten & contract-management: tips, trucs en juridische valkuilen.'