Partnerbijdrage van

Cybersecurity in de financiële sector

Er komt een imposante hoeveelheid cybersecuritywetten en -regels af op het Europese bedrijfsleven, en specifiek op de financiële sector. In deze bijdrage wordt de ‘Digital Operational Resilience Act (DORA)’ onder de loep genomen. Het definitieve voorstel voor deze verordening is op 10 november 2022 door het Europees Parlement aanvaard.

Delen:

Met het oog op NGB Extra

De Europese Commissie wil met de DORA de operationele veerkracht van de financiële sector versterken. Want na de financiële crisis van 2008 is er op het gebied van EU-wetgeving voor de financiële sector vooral aandacht geweest voor financiële veerkracht, en slechts indirect voor de digitale/ICT-risico’s volgens de Europese Commissie.

En omdat digitalisering zowel kansen als risico’s met zich meebrengt, is er aandacht nodig voor de operationele veerkracht in de financiële sector. Volgens het voorstel zijn digitalisering en operationele veerkracht twee kanten van dezelfde medaille. Maar juist aan die operationele veerkracht ontbreekt dus nog het nodige op het gebied van Europese wetgeving.

De maatregelen die er nu zijn gaan slechts in beperkte mate in op ICT-risico’s, en bovendien verschillen deze maatregelen in de sectorale wetgeving voor financiële diensten. Dit heeft ertoe geleid dat de maatregelen die er op het niveau van de lidstaten zijn, slechts in beperkte mate effect hebben door het grensoverschrijdende karakter van ICT-risico’s. En, tot slot volgens het voorstel, ontbrak het de financiële toezichthouders aan voldoende geschikte instrumenten om financiële instabiliteit te voorkomen als de ICT-risico’s zich ook echt zouden realiseren. Kortom, aanleiding genoeg voor een gedetailleerd en alomvattend kader voor digitale weerbaarheid van financiële entiteiten in de EU.

Hugo van Aardenne
Jouko Barensen


Hugo van Aardenne en Jouko Barensen zijn beiden advocaten bij
Ploum, gespecialiseerd in cybersecuritywetgeving, het toezicht en de handhaving op het gebied van cybersecurity. Als ook in strafrechtelijke handhaving (milieustrafrecht en economisch strafrecht).

Entiteiten

De DORA is van toepassing op maar liefst 21 soorten entiteiten in de financiële sector, van kredietinstellingen tot betalingsinstellingen of beleggingsondernemingen. Maar ook aanbieders van cryptoactivadiensten, beheermaatschappijen en verzekerings- en herverzekeringsondernemingen of instellingen voor bedrijfspensioenvoorziening vallen onder de DORA, en nog veel meer.

Risicobeheer

De DORA is een lex specialis ten opzichte van de NIS2. De NIS2 is de richtlijn voor cyberbeveiliging van de vitale sectoren. Onder de NIS2 vallen ook het bankwezen en de infrastructuur voor de financiële markt. En in de overlap tussen de NIS2 en de DORA geldt dus een ‘lex generalis’ en ‘lex specialis’ verhouding. Dit heeft tot gevolg dat de DORA nog veel gedetailleerdere regels voorschrijft dan de NIS2.

De DORA beschrijft dus tot in detail aan welke onderdelen financiële entiteiten moeten voldoen op het gebied van risicobeheer.

Governance

Het leidinggevend orgaan van de financiële entiteit moet voldoen aan governance verplichtingen. Dit betekent onder andere dat het verantwoordelijk is voor het vaststellen van taken en bevoegdheden van álle ICT-gerelateerde functies. Maar daarnaast ook bijvoorbeeld voor het bepalen van het passende risicotolerantieniveau van de financiële entiteit, of het goedkeuren en de periodieke evaluatie van ICT-audits. Dit zijn slechts enkele voorbeelden van de governance verplichtingen waarvoor het leidinggevend orgaan van de financiële entiteit de eindverantwoordelijke is.

Kader

Een andere verplichting op het gebied van risicobeheer is de verplichting voor financiële entiteiten om te beschikken over een kader voor ICT-risicobeheer. Hierbij worden strategieën, beleidslijnen, ICT-protocollen en instrumenten verwacht om bescherming tegen risico’s te waarborgen. Hierbij wordt ook verwacht dat deze maatregelen passen bij de risico’s en dat zij de volledige en geactualiseerde informatie over die risico’s ook verstrekken aan de bevoegde autoriteiten. Onder die strategieën wordt ook verwacht dat methoden worden beschreven voor het testen van de digitale operationele veerkracht, of het uitstippelen van een communicatiestrategie bij ICT-gerelateerde incidenten. Dit zijn slechts enkele praktische voorbeelden van de verplichtingen waaraan het kader voor risicobeheer moet voldoen.

Lees op de NGB-website verder over: identificatie, prevent en detect & response, scholing en communicatie & normalisatie, ICT-incidenten & rapportage, testen operationele veerkracht, beheer ICT-risico van de derde aanbieder, informatie-uitwisseling, toezicht en handhaving, implementatie DORA en NIS2, afronding.

Delen:

NGB

Voor een overzicht van alle opleidingen en bijeenkomsten de komende tijd: zie de agenda. Het laatste nieuws en artikelen van het NGB vind je in…

Meer berichten van partner

Scroll naar boven