Naar aanleiding van een survey van de FSMA worden de financiële entiteiten verzocht zich voor te bereiden op de inwerkingtreding van de Europese DORA-verordening
De financiële sector is steeds sterker afhankelijk van de goede werking van de informatica-infrastructuur en -diensten. Gelet op de toegenomen risico’s inzake computerbeveiliging en het stijgende aantal gevallen van cybercriminaliteit legt de Europese DORA-verordening (“Digital Operational Resilience Act”) ambitieuze doelstellingen vast op het vlak van digitale operationele weerbaarheid. Deze strekken ertoe de financiële entiteiten en hun cliënten te beschermen. Ze vullen de reeds geldende reglementering aan. Een survey van de Autoriteit voor Financiële Diensten en Markten (FSMA) wijst uit dat vele financiële entiteiten nog niet alle nodige maatregelen hebben genomen om zich op de inwerkingtreding van DORA voor te bereiden. Die entiteiten worden verzocht om kennis te nemen van de voor hen geldende bepalingen van die Verordening, en om tijdig het nodige te doen en te bepalen welke stappen ze moeten ondernemen om zich geleidelijk aan die bepalingen te conformeren.
Een recent door de FSMA uitgevoerde survey strekte ertoe de entiteiten onder haar toezicht in staat te stellen een eerste zelfevaluatie uit te voeren van de stand van hun voorbereidingen op de DORA-vereisten. DORA (hierna ook “de Verordening”) is op 16 januari 2023 in werking getreden en zal vanaf 17 januari 2025 van toepassing zijn[1]. Deze Verordening is de nieuwe hoeksteen van de cyberveiligheid in de financiële sector. Ze wil de financiële entiteiten ertoe brengen hun risico’s inzake informatie- en communicatietechnologie (hierna “ICT”) beter te beheren, zodat ze weerbaarder worden tegen cyberdreigingen.
Na afloop van de vijf weken waarin de niet-bindende survey van de FSMA liep, bleken 126 van de geviseerde entiteiten te hebben geantwoord. De FSMA kreeg een gemengd beeld te zien: met een algemeen deelnemingspercentage van zo’n 50% toonde een behoorlijk aantal geviseerde entiteiten belangstelling voor die bepalingen, alsook betrokkenheid bij de integratie ervan in hun organisatie. Voor de entiteiten die niet hebben geantwoord, is onmogelijk in te schatten of ze al de nodige stappen hebben gezet om zich op DORA voor te bereiden. De entiteiten bij wie dat niet het geval is, worden dringend verzocht om kennis te nemen van de voor hen geldende bepalingen van de Verordening en tijdig het nodige te doen om zich aan die bepalingen te conformeren.
De voorbereiding op DORA varieert sterk van de ene sector tot de andere
De FSMA verheugt zich vooreerst over het hoge deelnemingspercentage aan de survey bij bepaalde sectoren: 94% van de vennootschappen voor vermogensbeheer en beleggingsadvies en 88% van de beheerders van (A)ICB’s namen aan de survey deel. Bij de instellingen voor bedrijfspensioenvoorziening (IBP’s) bedroeg het responspercentage 57%. Die resultaten tonen niet alleen de betrokkenheid van die sectoren, maar ook dat ze zich bewust zijn van het belang van die reglementering.
Het algemene deelnemingspercentage van de verzekeringstussenpersonen (inclusief de nevenverzekeringstussenpersonen) en van de herverzekeringstussenpersonen bedroeg slechts 19%. Dat lage responspercentage zou kunnen wijzen op een gebrek aan voorbereiding op DORA bij de geïdentificeerde tussenpersonen, ja zelfs op onwetendheid over het bestaan van de Verordening. Beide hypotheses zijn onrustwekkend, gelet op de resterende voorbereidingstijd. Door haar survey nu al te voeren, wil de FSMA de aandacht van de financiële entiteiten daar tijdig op vestigen. In de loop van 2024 zal de FSMA trouwens specifieke stappen ondernemen naar die sector toe, om deze zo goed mogelijk te begeleiden bij zijn voorbereiding.
Tot slot blijken de crowdfundingdienstverleners de grote afwezigen te zijn bij deze survey: slechts één van hen heeft geantwoord[2]. Dat resultaat is alarmerend omdat ook die entiteiten door DORA worden geviseerd, en omdat de vereiste inspanningen om zich daarop voor te bereiden, aanzienlijk zijn.
Bovendien werden de financiële entiteiten verzocht om, op een schaal van 1 (laag) tot 5 (zeer hoog), hun ‘volwassenheidsniveau’ (of maturiteitsniveau) te beoordelen ten aanzien van de vier grote DORA-thema’s die in de survey aan bod kwamen[3]. Voor het maturiteitsniveau op het vlak van ICT-risicobeheer en rapportage van ICT-gerelateerde incidenten[4] is de (aangegeven) mediaan 3. De respondenten van de survey zeggen iets beter voorbereid te zijn op het risico dat ze lopen wanneer ze een beroep doen op derde aanbieders van ICT-diensten. Ongeveer 60% van de respondenten die een beroep doen op dergelijke aanbieders (wat zo is bij de overgrote meerderheid van de IBP’s en de beheerders van (A)ICB’s), verklaren op dit vlak volwassenheidsniveau 3 of meer te hebben.
De eerste resultaten zijn bemoedigend, maar de financiële entiteiten moeten hun inspanningen onverminderd voortzetten in 2024
De antwoorden op deze eerste survey werden geformuleerd na zelfevaluatie. In deze fase werd de betrokken entiteiten niet gevraagd om hun verklaringen te onderbouwen met nadere toelichtingen of met documenten. De survey was onderverdeeld in vier secties, die overeenstemmen met een van de thema’s die in de DORA-verordening worden behandeld.
De meeste financiële entiteiten verklaren te beschikken over een ICT-risicobeheerkader, en meer bepaald over een ICT-bedrijfscontinuïteitsbeleid
In elke sector waar de survey betrekking op heeft, verklaart de meerderheid van de respondenten te beschikken over een ICT-risicobeheerkader dat goed gedocumenteerd is[5].
Op het eerste zicht is dit een bemoedigend resultaat, maar het moet echter genuanceerd worden voor de sector van de verzekerings- en herverzekeringstussenpersonen. Door het lage deelnemingspercentage bij die sector zouden de antwoorden op deze vraag onvoldoende representatief kunnen zijn.
Dit risicobeheerkader moet de entiteiten in staat stellen om, op optimale wijze, inzicht te verwerven in hun ICT-risico’s en deze te voorkomen door daar de nodige middelen voor uit te trekken, en met name beleidsmaatregelen op te stellen voor de respons op ICT-gerelateerde incidenten en het melden van deze incidenten.
Alle sectoren samen beschouwd, heeft zo’n 90% van de respondenten bevestigd over een ICT-bedrijfscontinuïteitsbeleid te beschikken. Dit is een hoopgevend cijfer aangezien dit beleid van doorslaggevend belang is voor de bedrijfscontinuïteit van deze entiteiten zelf. In het kader van haar nieuwe toezichtsbevoegdheden zal de FSMA dit beleid beoordelen en er met name op toezien dat het daadwerkelijk toelaat ICT-incidenten op te lossen.
De financiële entiteiten moeten hun reactievermogen bij ICT-incidenten verbeteren
Hoewel de meeste financiële entiteiten rekening lijken te houden met het ICT-risico (zie het bovenstaande deel), geeft slechts een kleinere groep aan in staat te zijn ICT-gerelateerde incidenten te detecteren, te beheren en, zo nodig, te melden.
De antwoorden van de tussenpersonen op deze vraag laten een bemoedigend resultaat zien. Zoals eerder vermeld, zou het, door het lage deelnemingspercentage bij dit statuut, echter te gevaarlijk zijn om dit resultaat te extrapoleren naar de gehele sector.
Toch is dit reactievermogen een intrinsiek onderdeel van de operationele weerbaarheid van financiële entiteiten tegen cyberdreigingen. Om de impact van die incidenten te beperken, alsook de kosten die ze met zich brengen aan banden te leggen en hun verdere verspreiding naar andere financiële entiteiten te verhinderen, is het van cruciaal belang dat de entiteiten hun reactievermogen op dit vlak verder aanscherpen.
ICT-risicobeheer en –beleidskaders uitwerken heeft enkel zin als deze ook aan de praktijk worden getoetst
Noch het invoeren van een ICT-risicobeheerkader, nog het uitwerken van beleidslijnen en procedures ter zake volstaan op zich om de digitale operationele weerbaarheid van een financiële entiteit te waarborgen. Het is essentieel om de kwetsbaarheden en de ICT-risico’s in kaart te brengen zodat doelmatige en doeltreffende maatregelen kunnen worden genomen.
Welnu, de meeste ondernemingen beschikken nog niet over een volledig programma voor het testen van de digitale operationele weerbaarheid.
Het uitwerken en toepassen van dergelijke programma’s zijn ontwikkelingen waaraan de ondernemingen in 2024 prioriteit moeten geven.
De ondernemingen moeten het beheer verbeteren van het risico dat verbonden is aan externe aanbieders van ICT-diensten
94% van de respondenten geeft aan een beroep te doen op externe aanbieders van ICT-diensten[6]. Van die groep verklaart de helft evenwel geen strategie te hebben voor het risico dat die aanbieders opleveren.
Daarbij wordt erop gewezen dat DORA een hoofdstuk bevat dat specifiek gewijd is aan het beheer van het ICT-risico van derde aanbieders. Aangezien een onderneming in elk geval volledig aansprakelijk blijft voor de naleving van de Verordening, is het van essentieel belang dat ze deze risico’s beoordeelt en opvolgt.
Morgen is DORA er al!
In de conclusies van deze eerste survey richten we de schijnwerper op de bemoedigende vooruitzichten maar benadrukken we ook dat er tekortkomingen zijn. De digitale operationele weerbaarheid lijkt een gekend concept te zijn bij een niet te verwaarlozen groep van de entiteiten onder toezicht van de FSMA. Een aantal activiteitsectoren hebben al goede vorderingen gemaakt met hun voorbereidende werkzaamheden.
De FSMA zal zich deels baseren op deze eerste vaststellingen om richting te geven aan haar toekomstige acties waarmee ze de entiteiten onder haar toezicht wil begeleiden om zich voor te bereiden op dit nieuwe reglementaire kader. Zo zal de FSMA uitgebreidere surveys kunnen verrichten om nauwgezetter te beoordelen of de entiteiten voldoen aan de vereisten van de DORA-verordening. Ook die initiatieven zullen erop gericht zijn de digitale operationele weerbaarheid van de financiële marktdeelnemers te meten en te versterken.
Tot slot dienen de financiële entiteiten, in aanvulling op de informatie die de FSMA verstrekt, zelf de ontwikkelingen te volgen van de technische reguleringsnormen en de technische uitvoeringsnormen van DORA[7]. In dit verband herinnert de FSMA eraan dat de Europese toezichthouders thans een openbare raadpleging houden die loopt tot 4 maart 2024. De financiële entiteiten zijn uitgenodigd om hieraan deel te nemen[8].
[1]DORA is te raadplegen op het adres: https://eur-lex.europa.eu/eli/reg/2022/2554.
[2] Dit verklaart meteen waarom dit statuut niet is opgenomen in de onderstaande analyses.
[3] Deze schaal wordt gehanteerd als referentie om het volwassenheidssniveau te meten van de procedures waarover een organisatie beschikt.
[4] Zie de eerste en tweede sectie van de survey.
[5] GFVB: vennootschappen voor vermogensbeheer en beleggingsadvies, INAS: verzekeringstussenpersonen (waaronder de nevenverzekeringstussenpersonen), INRA: herverzekeringstussenpersonen, AIFM: beheerders van alternatieve ICB’s (AICB’s), UCITS: beheerders van ICB’s, IORP: instellingen voor bedrijfspensioenvoorziening.
[6] De overgrote meerderheid – 92% – van deze entiteiten verklaart ook te beschikken over een schriftelijke overeenkomst die ondertekend is met elke aanbieder van ICT-diensten op wie een beroep wordt gedaan.
[7] In het Engels respectievelijk de ‘regulatory technical standards’ (RTS) en de ‘implementing technical standards’ (ITS), die geraadpleegd kunnen worden via de volgende link: https://www.esma.europa.eu/press-news/esma-news/esas-launch-joint-consultation-second-batch-policy-mandates-under-digital.
[8] Terug te vinden via de volgende link: https://www.eiopa.europa.eu/consultations/dora-public-consultation-second-batch-policy-products_en.