Edward Roozenburg: DORA, een nog onduidelijke finish

Edward Roozenburg: DORA, een nog onduidelijke finish

10 oktober 2023

Risicomanagement Pensioenfondsen
Edward Roozenburg (foto archief Probability & Partners).jpg

Door Edward Roozenburg, Risk Management Consultant bij Probability & Partners

Voor de meesten in pensioenland is het inmiddels bekende kost: de Digital Operations Resilience Act is op 1 januari 2023 in werking getreden en pensioenfondsen hebben tot 1 januari 2025 om eraan te voldoen. Naarmate 2025 dichterbij komt, loopt de tijdsdruk op.

Als ISO bij een pensioenfonds merkte ik dat zelf afgelopen zomer. Ik werd opgeschrikt tijdens mijn vakantie door de directeur met de vraag hoever we waren met de Digital Operations Resilience Act (DORA). Ik heb hem gerust kunnen stellen, maar ik kon zijn vraag inhoudelijk eerlijk gezegd niet goed beantwoorden.

En dat kan ik drie maanden later nog steeds niet. Een degelijke nulmeting over wat het fonds nog te doen staat voor 2025 kan ik nog niet doen. Pas als de gedetailleerde uitwerking van de DORA op alle onderwerpen bekend is, kan ik daaraan beginnen. En daarop wachten we nog steeds. Wat kan je als pensioenfonds aan impact verwachten en wat kan je toch alvast doen om je voor te bereiden?

Wat is er al bekend?

Hoewel de details nog op zich laten wachten, zijn de hoofdlijnen van de DORA wèl bekend. De DORA is opgebouwd uit vijf pijlers:

  1. Pensioenfondsen moeten een alomvattend IT-risicobeheer hebben, dat onder meer het identificeren, classificeren en documenteren van alle IT-gerelateerde bedrijfsfuncties omvat. Ook moeten ze een leidinggevend orgaan hebben dat betrokken is bij het IT-risicobeheer en over voldoende IT-deskundigheid beschikt.
  2. Pensioenfondsen moeten alle IT-gerelateerde incidenten die hun bedrijfscontinuïteit of financiële stabiliteit in gevaar kunnen brengen, melden aan de bevoegde autoriteiten.
  3. Pensioenfondsen moeten regelmatig tests uitvoeren om hun digitale operationele veerkracht te beoordelen en te verbeteren. Deze tests moeten gebaseerd zijn op realistische scenario's en rekening houden met de potentiële impact van IT-verstoringen op de financiële markten.
  4. Pensioenfondsen moeten ervoor zorgen dat hun uitbestedingspartners ook voldoen aan de eisen van de DORA. Ze moeten een uitbestedingsbeleid hebben dat de risico's van uitbesteding identificeert, beheerst en beperkt. Ook moeten ze een register bijhouden van al hun uitbestedingscontracten.
  5. Pensioenfondsen moeten samenwerken met andere financiële instellingen en toezichthouders om informatie te delen over IT-bedreigingen, kwetsbaarheden en best practices.

Wat is de impact?

Sommige van mijn collega’s verwachten dat de impact over het geheel genomen wel mee zal vallen. Veel fondsen hebben immers de Good Practice Informatiebeveiliging van DNB al grotendeels geïmplementeerd. Daarmee zouden al veel voorbereidingen voor de DORA zijn getroffen. Maar anderen wijzen erop dat dat de DORA veel gedetailleerder is in zijn eisen. Bovendien bleek uit de monitoring van DNB van de informatiebeveiliging bij fondsen dat deze gemiddeld genomen nog niet voldoet aan het vereiste volwassenheidsniveau dat DNB in de Good Practice stelt.

Tenslotte zal binnenkort (waarschijnlijk dit najaar al) de Good Practice Informatiebeveiliging worden aangepast. Deze wordt verder aangescherpt en hierin zal de DORA, voor zover bekend, worden verwerkt. Voldoen aan de huidige Good Practice alleen is dan ook zeker geen garantie dat er wordt voldaan aan DORA.

Meer specifiek zal er voor veel fondsen werk te doen zijn op de volgende punten:

  1. Het bestuur van het fonds wordt eindverantwoordelijk voor het IT-beheer. Het bestuur moet taken toewijzen, opdrachtgever worden voor audits en een strategie voor digitale operationele weerbaarheid hebben. Ook betekent dit dat bestuursleden regelmatig specifieke opleidingen moeten volgen die in verhouding staan tot het beheren van IT-risico.
  2. Er moeten duidelijke informatiebeveiligingsdoelstellingen met kritieke risico- en prestatie-indicatoren worden geformuleerd. Over het algemeen geldt binnen informatiebeveiliging dat het doel is om betrouwbaarheid, integriteit en vertrouwelijkheid te borgen. De DORA voegt hier nog authenticiteit aan toe. Het zal nog een klus zijn om dit in een meetbare prestatie-indicator te vervatten.
  3. IT-incidenten moeten gemeld gaan worden als ze aan een bepaalde definitie voldoen. Waarschijnlijk bij DNB of NCSC. Dit moet binnen gestelde deadlines. Het is dan ook belangrijk afspraken met je IT-leveranciers te maken over de snelheid waarmee zij aan het fonds melden dat er iets is misgegaan.
  4. De digitale operationele weerbaarheid moet aantoonbaar zijn. Je zal je IT dus moeten testen. Je kan denken aan pentesten, red-teaming en dergelijke, maar wellicht ook aan de werking van andere beheersmaatregelen, zoals uitwijk, back-up en recovery. Dat betekent in de praktijk waarschijnlijk dat duidelijk moet zijn welke controls er zijn ingericht, dat die moeten worden getest en wat de uitkomsten daarvan zijn.
  5. Er moet een informatieregister zijn waarin alle IT-overeenkomsten zijn opgenomen (dus niet zoals nu alleen de kritieke uitbestedingsketens). Dat is dus ook het contract voor de digitale deurbel die ik bij sommige fondsen heb gezien. Ook worden er eisen gesteld aan contracten met IT-dienstverleners.

Wat kun je nu al doen?

Wat kan je nu alvast wèl oppakken?

  1. Anticipeer alvast op bovenstaande punten. Als je nieuwe bestuurders aan moet wijzen, laat dan hun kennis van IT meewegen in je procedure. Als je je IT-beleid wilt herzien, zorg dan dat de relevante hoofdlijnen uit de DORA meteen worden meegenomen. Pak pentesten op als je dat nog niet gedaan hebt.
  2. Bekijk alvast op hoofdlijnen hoe je bedrijfsvoering ervoor staat op basis van de hoofdlijnen van de DORA. Zodra de details bekend zijn, kan je sneller je gap-analyse uitvoeren.
  3. Zorg dat je de beoordeling van je uitbestedingspartners op orde hebt en vraag in je periodieke evaluaties met IT-leveranciers hoe zij zich op elementen uit de DORA voorbereiden.

Punt blijft dat pas zodra de volledige uitwerking van de DORA bekend is, echt inzichtelijk is wat er nog moet gebeuren. De finish is dus nog wat onduidelijk, maar je weet al wel enigszins welke kant je op moet gaan.

Nog even voor de duidelijkheid: we doen dit om de digitale weerbaarheid in heel Europa te vergroten. Daardoor krijgen we meer zekerheid dat de pensioenen ‘gewoon’ op tijd worden uitbetaald, de overgang naar het nieuwe stelsel zonder cyberincidenten verloopt en dat iedereen het juiste bedrag in zijn spaarpot krijgt. Dat we deze verbeteringen in de cyberveiligheid nu doorvoeren met de DORA, kan ik alleen maar toejuichen.

Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.

Gerelateerde berichten