Bij het identificeren en beoordelen van het ICT-concentratierisico onderzoeken de financiële entiteiten ook of de beoogde sluiting van een contractuele overeenkomst inzake ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen, tot een van de volgende situaties zou leiden:
- de situatie waarin zij een overeenkomst sluiten met een derde aanbieder van ICT-diensten die niet gemakkelijk substitueerbaar is, of
- de situatie waarin zij beschikken over meerdere contractuele overeenkomsten inzake de verlening van ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen, met dezelfde derde aanbieder van ICT-diensten of met nauw verbonden derde aanbieders van ICT-diensten.
In zo’n geval wegen de financiële entiteiten de baten en kosten af van alternatieve oplossingen, zoals het gebruik van verschillende derde aanbieders van ICT-diensten, rekening houdend met de vraag of en hoe de voorgenomen oplossingen aansluiten bij de zakelijke behoeften, bij de doelstellingen waarin hun strategie inzake digitale weerbaarheid voorziet, en bij de manier om te garanderen dat zij wel degelijk aansluiten.
Het risico van concentratie
Om de systemische impact van het risico van concentratie van ICT-derden te beperken, wordt in DORA een flexibele en geleidelijke aanpak van zulk concentratierisico bepleit. De Europese wetgever heeft immers geoordeeld dat het opleggen van onwrikbare risicoplafonds of strikte beperkingen de bedrijfsvoering zou kunnen belemmeren en de contractvrijheid zou kunnen beperken.
Financiële entiteiten moeten de contractuele overeenkomsten die zij willen sluiten, grondig onderzoeken om na te gaan hoe groot de kans is dat een dergelijk risico zich zal voordoen, onder meer door overeenkomsten tot onderaanbesteding onder de loep te nemen, met name indien die worden gesloten met derde aanbieders van ICT-diensten die in een derde land zijn gevestigd.