Status DORA-regelgeving juli 2024

06 augustus, 2024
Update Taskforce DORA
Op 27 december 2022 is de DORA-wetgeving gepubliceerd. Sinds deze publicatie zijn alle onderliggende standaarden en richtlijnen in twee batches gepubliceerd. De eerste batch is in maart definitief gepubliceerd in het EU-publicatieblad. De tweede batch is afgelopen weken in een finale conceptversie gepubliceerd. Gecategoriseerd per onderwerp en naar status betreft dit de volgende standaarden en richtlijnen:

OnderwerpFinale concept juli 24Definitieve publicatie
ICT-risicobeheer
ICT-risicobeheer raamwerk*
Incidenten- Kosten grote incidenten***
- Rapporteren van incidenten en bedreigingen*
- Formulier om incidenten en bedreigingen te rapporteren**
Classificatie incidenten en significante bedreigingen*
WeerbaarheidDreiging gestructureerde penetratietesten (TLPT) 
Derde partijenSub-serviceorganisaties*- Contractuele regelingen voor het gebruik van ICT-diensten ter ondersteuning van Cif*
- Register van informatie over derde partijen**
Overige- Informatie uitwisseling ESA***
- Uitvoering van toezicht*
- Gezamenlijk onderzoek*

Uitleg legenda:
*Regelgevende Technische Standaard (RTS)
**Implementatie Technische standaard (ITS)
***Richtlijn

Nederlandse Implementatiewet
Qua Nederlandse regelgeving is de status van de Implementatiewet digitale operationele weerbaarheid op 28 juni 2024 definitief van kracht geworden. In deze wet zijn geen afwijkingen van de Europese verordening aangebracht (wat ook niet toegestaan is).
Het Uitvoeringsbesluit verordening digitale operationele weerbaarheid is op 21 mei 2024 in concept gepubliceerd.

Analyse van verschillen
In dit artikel gaan wij in op de tweede batch aan regelgevende technische standaarden (RTS) en richtlijnen die een impact hebben op de implementatie bij de instellingen. Dat zijn:
  1. Kosten grote incidenten
  2. Rapporteren van incidenten en bedreigingen
  3. Dreiging gestuurde penetratietesten (TLPT)
  4. Sub-serviceorganisaties
De overige hebben geen direct impact op de implementatie omdat de focus meer ligt op het toezicht.

Naar verwachting duurt het enkele maanden voordat de Europese commissie de finale concepten heeft vastgesteld en publicatie in EU-journaal plaats vindt. Bij de vorige publicatie viel op dat er kleine verschillen waren tussen het finaal concept en de definitieve publicatie in de EU-publicatieblad. Per document gaan wij in op wat er staat en wat de belangrijke wijzigingen zijn ten opzichte van de voorlopige conceptversie zoals die in januari 2024 was gepubliceerd.

Kosten grote incidenten (richtlijn)
Deze richtlijn (“Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents under Regulation”) gaat over het berekenen van de kosten veroorzaakt door grote ICT-incidenten.

De richtlijnen zijn bedoeld om de schatting en rapportage van geaggregeerde jaarlijkse kosten en verliezen als gevolg van belangrijke ICT-gerelateerde incidenten tussen financiële entiteiten te harmoniseren, waardoor consistentie en vergelijkbaarheid van gegevens worden gewaarborgd.

De richtlijnen benadrukken proportionaliteit, waarbij wordt verzekerd dat kleinere financiële entiteiten minder vaak incidenten als "groot" classificeren dan grotere, waardoor de rapportagebelasting wordt geminimaliseerd. De definitieve richtlijnen vereenvoudigen ook de vereisten om deze belasting verder te verminderen.

De richtlijnen stellen een kader vast voor jaarlijkse rapportages van geaggregeerde kosten en verliezen van belangrijke ICT-gerelateerde incidenten, met duidelijke sjablonen en procedures om ervoor te zorgen dat financiële entiteiten nauwkeurig en gestandaardiseerd kunnen rapporteren.

Drie belangrijke verschillen tussen het voorlopige en definitieve concept zijn:
  1. De definitieve richtlijnen behouden de eis voor brutokosten en -verliezen, maar verwijderen de noodzaak voor nettokosten en -verliezen, met de nadruk dat bevoegde autoriteiten zelf de nettobedragen kunnen berekenen.
  2. De definitieve richtlijnen bieden flexibiliteit door financiële entiteiten toe te staan om te kiezen of ze rapporteren op basis van het kalenderjaar of het boekjaar, mits ze consistent blijven jaar na jaar tenzij anders gemeld aan de bevoegde autoriteit.
  3. De definitieve versie vereenvoudigt en verduidelijkt verschillende punten, zoals het verwijderen van de noodzaak voor externe validatie van jaarverslagen en het specificeren van eenvoudigere, duidelijkere rapportagevereisten.

Rapporteren van incidenten en bedreigingen (RTS)
Deze RTS (“Regulatory Technical Standards on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents”) gaat over de rapportage van incidenten.

Het hoofddoel van de DORA-regelgeving is om de ICT-incidentrapportage voor financiële entiteiten binnen de EU te harmoniseren en te stroomlijnen. Dit omvat een geharmoniseerd kader voor de melding van belangrijke ICT-gerelateerde incidenten en significante cyberdreigingen.

Om de proportionaliteit te waarborgen, zijn er verminderde rapportagevereisten voor kleinere financiële entiteiten tijdens weekenden en feestdagen, en een vereenvoudigd sjabloon voor de initiële melding om entiteiten in staat te stellen zich te concentreren op incidentbeheer.

Drie belangrijke verschillen tussen het voorlopige en definitieve concept zijn:
  1. Kleine financiële instellingen hoeven niet te voldoen aan de 4-uurs termijn, maar 24-uurs termijn, voor het melden van grote incidenten evenmin hoeven zij te rapporteren in het weekend of op feestdagen. De termijn is dan voor 12.00 uur ’s middags op de eerstvolgende werkdag.
  2. In het definitieve rapport zijn de rapportagetermijnen voor het tussentijdse rapport verlengd met maximaal 24 uur en voor het eindrapport met ten minste 72 uur. Deze termijnen beginnen nu vanaf de indiening van de vorige melding of rapport in plaats van het moment van classificatie.
  3. Het aantal verplichte velden in het initiële meldingssjabloon is verminderd van 17 naar 10, met slechts 7 verplichte velden. Dit vermindert de administratieve belasting voor financiële instellingen tijdens een incident. Deze vermindering geldt ook voor het finale rapport dat van 84 naar 59 velden is gegaan.
Dreiging gestuurde penetratietesten (Threat Led Penetration Testing - TLPT) (RTS)
Deze RTS (“Regulatory Technical Standards specifying elements related to threat led penetration tests under Article 26(11)”) gaat over het uitvoeren van TLPT.

Financiële entiteiten die verplicht zijn om TLPT uit te voeren, worden geïdentificeerd op basis van criteria zoals hun systeemimpact, ICT-rijpheidsniveau, en mogelijke financiële stabiliteitsrisico's, met een tweeledig benaderingsmodel dat specifieke drempels en opt-in/opt-out opties omvat. DNB en AFM hebben aangegeven dat niet eerder dan 17 januari 2025 bekend wordt welke entiteiten dat zijn en met welke frequentie de financiële entiteiten de TLPT moeten uitvoeren.

De TLPT-methodologie en het proces volgen het TIBER-EU-raamwerk, met fasen zoals voorbereiding, testen, en afsluiting, waarbij specifieke vereisten worden gesteld aan interne en externe testers, risicobeheer, en samenwerking tussen belanghebbenden.

Financiële entiteiten mogen interne testers gebruiken voor TLPT's, mits aan bepaalde voorwaarden wordt voldaan, zoals het waarborgen van de kwaliteit van de tests, het vermijden van belangenconflicten, en het gebruik van externe dreigingsinformatieproviders.

Drie belangrijke verschillen tussen het voorlopige en definitieve concept zijn:

  1. De criteria en processen voor (TLPT) zijn aangepast. De drempel voor betalingsinstellingen is verhoogd van EUR 120 miljard naar EUR 150 miljard aan totale waarde van betalingstransacties in elk van de voorgaande twee boekjaren, om te waarborgen dat alleen de meest significante entiteiten verplicht worden om TLPT uit te voeren. De criteria voor de selectie van verzekerings- en herverzekeringsondernemingen zijn herzien om meer transparantie te bieden aan marktdeelnemers. Dit omvat het verhogen van de drempels (onder andere van 0,5 miljard naar 1,5 miljard aan premies) en het verduidelijken van de categorieën van financiële instrumenten die in aanmerking worden genomen voor de drempelbepaling.
  2. De definitieve versie bevat meer gedetailleerde specificaties voor de samenwerking tussen toezichthoudende autoriteiten, inclusief situaties waarin meerdere autoriteiten betrokken zijn bij een TLPT, vooral in grensoverschrijdende gevallen.
  3. Verduidelijkingen zijn aangebracht in de definitieve versie omtrent de rollen en verantwoordelijkheden van interne testers, de opname van 'joint testing' naast 'pooled testing', en aanvullende richtlijnen voor risicobeheer tijdens de voorbereiding en uitvoering van TLPT.
Sub-serviceorganisaties (RTS)
Deze RTS (“Regulatory Technical Standards to specify the elements which a financial entity needs to determine and assess when subcontracting ICT services supporting critical or important functions as mandated by Article 30(5)”) gaat over onder-uitbesteding of sub-service-organisaties. Kortom de service-organisaties van de service-organisaties tot aan het eind van de keten van IT-service-organisaties, maar die relevant zijn voor kritieke of belangrijke functies.

Financiële entiteiten moeten een uitgebreide risicobeoordeling uitvoeren en due diligence toepassen voordat ze ICT-diensten voor kritieke of belangrijke functies uitbesteden. Zij zijn verplicht om de hele keten van ICT-onderaannemers te monitoren om ervoor te zorgen dat alle contractuele en wettelijke verplichtingen worden nageleefd.

De regelgeving vereist gedetailleerde contractuele afspraken over de voorwaarden voor onderaanneming, inclusief monitoring- en rapportageverplichtingen, en biedt financiële entiteiten het recht om het contract te beëindigen bij niet-naleving of ongeoorloofde wijzigingen.

Drie belangrijke verschillen tussen het voorlopige en definitieve concept zijn:
  1. In de conceptversie was opgenomen om geen verdere specificaties toe te voegen voor het proportionaliteitsbeginsel. In de definitieve versie zijn expliciete criteria toegevoegd om de toepassing van proportionaliteit beter te specificeren. Deze criteria zijn onder andere:
    a) De omvang van de financiële entiteit en de algehele risicoprofiel spelen een cruciale rol bij de toepassing van het proportionaliteitsbeginsel. Grotere entiteiten met een hoger risicoprofiel moeten wellicht meer uitgebreide en stringente maatregelen nemen in vergelijking met kleinere entiteiten met een lager risicoprofiel.
    b) De aard, schaal en complexiteit van de diensten, activiteiten en operaties van de financiële entiteit zijn ook van belang. Entiteiten die betrokken zijn bij complexere activiteiten of die diensten aanbieden die een hogere mate van technische ingewikkeldheid hebben, moeten mogelijk gedetailleerdere en nauwgezette controles en procedures implementeren.
    c) De geografische locatie van de ICT-onderaannemers en de mogelijke concentratierisico's moeten worden overwogen. Dit omvat het beoordelen van de politieke stabiliteit en veiligheid van de jurisdicties waarin de onderaannemers actief zijn, evenals de mate van afhankelijkheid van een beperkt aantal aanbieders, wat kan leiden tot een verhoogd risico voor de continuïteit en beschikbaarheid van kritieke diensten.

  2. De definitieve versie legt meer nadruk op de noodzaak voor financiële entiteiten om de gehele keten van ICT-onderaannemers te monitoren, terwijl de conceptversie minder specifiek was over de reikwijdte van deze monitoring. De RTS doet geen uitspraak over wat de minimumvereisten zijn aan monitoring. Naast het verkrijgen van assurance-rapporten en het verkrijgen en bespreken van service-levels zijn er andere mogelijkheden. Zoals het recht hebben om audits en inspecties uit te voeren op de contracten tussen de ICT-hoofddienstverlener en hun onderaannemers. Financiële entiteiten kunnen tools gebruiken voor realtime monitoring om ervoor te zorgen dat de diensten die door ICT-onderaannemers worden geleverd, voldoen aan de afgesproken serviceniveaus. Dit omvat het bijhouden van prestatiedata, het analyseren van responstijden en het monitoren van de beschikbaarheid en betrouwbaarheid van kritieke systemen en applicaties.

  3. De definitieve versie biedt meer duidelijkheid over de omstandigheden waaronder een financiële entiteit het contract met een ICT-dienstverlener kan beëindigen, inclusief de verplichting om voorafgaand bezwaar te maken tegen materiële wijzigingen in onderaannemingsregelingen.


Geschreven door
Natascha Gutterswijk
Natascha Gutterswijk
Webmaster en content manager