DORA: kent u uw ketenverantwoordelijkheid als financiële instelling?
Introductie DORA (Digital Operational Resilience Act)
De Europese Commissie heeft verordonneerd dat het financiële systeem aantoonbaar aan ICT-riskmanagement vereisten dient te voldoen. Ten tijde van de krediet crisis hebben we door schade en schande geleerd dat het systeem “too big to fail” is. Redding van het systeem heeft uiteindelijk een systeemcrisis voorkomen. De Digital Operational Resilience Act (DORA) onderkent dit eveneens door het financiële systeem strikte eisen voor te schrijven ten aanzien van digitale weerbaarheid. Immers, de financiële sector is door de verregaande automatisering en globalisering inmiddels dusdanig verweven dat een kettingreactie tot een crisis kan leiden. DORA compliant zijn is van essentieel belang voor partijen die actief zijn in de financiële sector; en daarmee dus ook voor pensioenfondsen- en uitvoerders. Pensioenfondsen, zowel de beheerders als de uitvoeringsorganisaties, worden met name vanuit outsourcing geraakt en willen een afgewogen zero-risk beleid volgen met het oog op de maatschappelijk belangrijke positie die ze hebben.
Vijf pijlers
DORA kan onderverdeeld worden in vijf pijlers, te weten:
- Governance en ICT Riskmanagement
- Incident management
- Testing van digitale weerbaarheid
- Bewaking keten verantwoordelijk naar 3e partijen met name op continuïteit van ICT
- Uitwisseling van informatie teneinde van elkaar over cyber security te kunnen leren.
De verordening schrijft voor dat u zich wapent tegen cybercrime, temeer het voorkomen van cybercrime de belangrijkste drijfveer is van DORA. Het gaat echter verder dan dat. DORA kijkt ook naar hoe uw ICT-organisatie inclusief de uitbestedingen is neergezet. DORA kijkt namelijk eveneens naar de borging van de continuïteit over de uitvoering van de operatie, inclusief taken en verantwoordelijkheden. Daarnaast is er expliciet ruimte en aandacht voor incidenten in de DORA ACT ingericht. Hieronder valt ook het aantoonbaar (en dus te testen) in control zijn op veranderingen in hard- en software op locatie dan wel in een SaaS omgeving van uw ICT-ondersteuning.
Ketenverantwoordelijkheid
Voor de pensioensector geldt dat deze veel gebruikt maakt van uitbesteding van diensten aan derde partijen. Een uitbesteding houdt in dat werk door een andere partij wordt uitgevoerd waarbij de verantwoordelijkheid nooit uitbesteed kan worden. U bent verantwoordelijk voor de gehele keten en u dient hier beleid voor te hebben uitgeschreven. In dit beleid geeft u aan op welke wijze u weet dat uw uitbestedingspartners aantoonbaar in control zijn op DORA. U zult uitgevraagd worden op uw en hun uitbestedingspartners. U zult moeten kunnen aantonen dat u op de mogelijke scenario’s bent voorbereid. Eén van de scenario’s is dat u op relatief korte termijn moet kunnen overstappen naar een andere serviceprovider.
Introductie partnership PensioenFondsDashboard en Mylette
Mylette is business partner van PensioenFondsDashboard, een samenwerking van adviseurs voor pensioenfondsen en -uitvoerders. Mylette, opgericht in 2001, biedt een brede dienstverlening aan financiële instellingen. Vanuit onze roots in de beurshandel en -transactieverwerking heeft onze expertise zich uitgebreid naar een volledig dienstenpalet in banking, brokerage en investments. Samen met de partners in PensioenFondsDashboard kunnen wij ondersteunen op meerdere vlakken.
Classificatie derde aanbieders
Uw organisatie heeft bepaalde werkzaamheden bewust uitbesteed of maakt gebruikt van toepassingen ontwikkeld door derde aanbieders. U, als verantwoordelijke naar de pensioengerechtigden, dient de kwaliteit van beide elementen permanent vast te stellen.
Betreft het de uitbesteding naar een derde aanbieder waar een ICT-component in zit, dan gaat de verantwoordelijkheid nog verder. Die wordt in dat geval in de verordening dwingend voorgeschreven waarbij u ook een gefundeerde conclusie over digitale weerbaarheid van de gehele keten dient te hebben. De vereisten zijn door de Europese Commissie in detail in de verordening benoemd. Vanuit risicomanagementgebied dient u het mitigeren van de risico’s in de ICT keten middels contracten, servicelevel, afspraken en periodieke reviews tot in detail te hebben uitgeschreven.
U dient derde aanbieders te classificeren in de mate van belangrijkheid voor uw organisatie. Wat is de impact als de aanbieder wegvalt en hoe gaat u dit opvangen? Om dit te beoordelen zult u totaaloverzicht moeten hebben van al uw partijen én applicaties om hier een goede inschatting van te kunnen maken.
Twee immense projecten: Digital Operational Resilience Act naast Wet toekomst Pensioenen
De markt is druk bezig met de transitie naar het nieuwe pensioenstelsel. De impact lijkt met name te liggen aan de zijde van de uitvoeringsorganisaties. Diverse ICT partijen zijn druk met de implementatie deze mega-operatie. Onder DORA wordt expliciet gesteld dat alle veranderingen, en dan specifiek op ICT-gebied, een DORA impact assessment moeten ondergaan. Hoewel een project risk assessment ook hier van toepassing is, zal nu de gehele keten een dergelijk assessment op DORA moeten uitvoeren. Twee parallelle projecten brengen extra risico met zich mee en vraagt goede planning en afstemming met alle partijen in de keten.
Hoe gaat u dit alles monitoren?
Aangezien u straks aan uw deelnemers en de toezichthouders verantwoording moet afleggen is het verstandig nu na te denken over de risico’s en scenario’s die uw organisatie in uw ketenverantwoordelijkheid gaan raken.
Aangezien elke organisatie aan DORA compliant dient te zijn, heeft Mylette de softwareoplossing ORCA (Operational Risk & Control Application) ontwikkeld en kan uw organisatie hierin ondersteunen. Met behulp van ORCA kan een organisatie eenvoudig en transparant de niet-financiële risico’s en beheersmaatregelen vastleggen, beheren en monitoren. Daarmee kunnen business owners en de experts die zich bezighouden met de ‘second line of defense’, met een relatief beperkte inspanning aantoonbaar in control zijn tegen een geringe investering. ORCA neemt de verplichting niet weg maar maar kan het werk vereenvoudigen.
Demo aanvragen
WTP (Wet Toekomst Pensioenen) en DORA naast elkaar zijn enorme veranderingen die de pensioensector momenteel raken. U zult als opdrachtgever naar 3e partijen in control moeten komen, zijn en blijven om geen onnodige risico’s te lopen en een aantekening van de toezichthouder te krijgen.
Voor nadere vragen of een demo kunt contact opnemen met:
- Arthur Koreman – 06-1045 8098 – a.koreman@mylette.nl
- Robert Jessurum Lobo – 06-5268 8907 – r.lobo@mylette.nl