DORA voor IT-leveranciers: wat moet je weten?
Per 17 januari 2025 moeten financiële instanties voldoen aan de eisen van de Digital Operational Resilience Act (DORA). Deze Europese verordening heeft als doel de digitale weerbaarheid van financiële instanties te verhogen door eisen te stellen voor de beveiliging van netwerk- en informatiesystemen zodat zij bestand zijn tegen verstoringen en cyberaanvallen.
Bijna alle financiële instanties werken op dit moment intensief aan het implementeren van de maatregelen die voortvloeien uit DORA, daartoe onder meer aangespoord door berichten van De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).
Een aspect dat minder aandacht krijgt, zijn de gevolgen van DORA voor IT-leveranciers die hun diensten leveren aan financiële instellingen en zich in de praktijk geconfronteerd zien met vragen en contractuele aanpassingen op verzoek van hun klanten. Met dit artikel maken wij de verschillende aspecten die hierbij relevant kunnen zijn voor IT-leveranciers inzichtelijk.
Op welke IT-leveranciers is DORA van toepassing?
In DORA wordt gesproken over (derde) aanbieders van ICT-diensten aan financiële entiteiten, waarbij de definitie van ICT-diensten ruim geformuleerd is. Dat maakt dat DORA van toepassing is op de meeste IT-diensten die IT-leveranciers leveren aan financiële instellingen die in de EU zijn gevestigd. Een aantal voorbeelden van ICT-diensten die onder DORA vallen, zijn:
- Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS);
- Software;
- Cybersecuritydiensten;
- Datacenterdiensten;
- Data-analyse diensten;
- Managed Services, zoals bijvoorbeeld netwerkbeheer.
Maar ook digitale deurbellen, digitale thermometers en pinkassa’s kunnen als ICT-dienst onder DORA worden aangemerkt. Kortom, in veel gevallen zal een IT-leverancier die zijn diensten aan een financiële instantie levert, te maken krijgen met DORA.
Welke gevolgen heeft DORA voor een IT-leverancier die financiële instanties als klant heeft?
Een financiële instantie is te allen tijde verantwoordelijk voor de naleving van de verplichtingen die voortvloeien uit DORA en het toezicht op de naleving daarvan. Zij zal daarom contact opnemen met haar bestaande en potentiële IT-leveranciers. Een IT-leverancier kan daarbij verwachten dat de volgende onderwerpen aan de orde komen:
- Evaluatie van risico’s en due diligence: De financiële instantie moet, voordat de contractsluiting plaatsvindt, een due diligence uitvoeren om ervoor te zorgen dat de IT-leverancier geschikt is en voldoet aan de informatiebeveiligingsnormen.
- Continuïteit en veerkracht: Beoordeling van de risicobeheersings- en bedrijfscontinuïteitsmaatregelen van de IT-leverancier, en ervoor zorgen dat deze effectief zijn om de operationele veerkracht van de financiële instelling te waarborgen.
- Onderaannemers: Informatieverzoeken van de financiële instantie over het gebruik van onderaannemers die door de IT-leverancier worden ingezet.
- Contractuele eisen: DORA geeft een uitgebreid overzicht van de eisen waaraan de bepalingen in een overeenkomst tussen een financiële instelling en een IT-leverancier moeten voldoen, daarover meer in de volgende paragraaf.
- Informatieregister: Financiële instellingen zijn verplicht een (gedetailleerd) informatieregister aan te leggen waarin alle contracten met ICT-leveranciers moeten worden opgenomen. De informatie die in het informatieregister moet worden vastgelegd is veelomvattend en daarom is het waarschijnlijk dat een financiële instelling nadere informatie opvraagt, bijvoorbeeld over de ingeschakelde (of in te schakelen) onderaannemers.
Welke contractuele eisen gelden onder DORA?
DORA stelt eisen aan de overeenkomsten tussen IT-leveranciers en financiële instellingen. Bij uitgebreidere overeenkomsten wordt vaak al gedeeltelijk voldaan aan deze eisen. Hieronder vindt u een samenvatting van de contractuele eisen die DORA stelt.
Allereerst: kritieke of belangrijke functie?
Om vast te stellen welke contractuele eisen gelden, is het allereerst van belang te analyseren of de ICT-dienst kwalificeert als “kritieke of belangrijke” functie. Onder DORA wordt een “kritieke of belangrijke functie” gedefinieerd als een functie waarvan de verstoring de financiële prestaties van een financiële entiteit aanzienlijk zou schaden. Dit zijn dus de functies en processen die ervoor zorgen dat de bedrijfsvoering van de financiële instelling stil komt te staan als een dergelijke functie wordt verstoord. Voorbeelden zijn de verwerking van betalingen (betalingsdiensten), de administratie van transacties en stukken (vermogensbeheer) en de uitbetaling van uitkeringen (pensioenen). Als sprake is van een kritieke of belangrijke functie, gelden in aanvulling op de standaardeisen extra eisen voor de overeenkomst.
Contractuele eisen voor alle IT-diensten
Beëindigingsrechten
De financiële instelling moet de overeenkomst kunnen beëindigen bij een ernstige overtreding van toepasselijke wetten of contractuele voorwaarden. Ook in geval van klaarblijkelijke zwakheden in het algemeen beheer van het ICT-risico van de IT-leverancier geldt een beëindigingsrecht. Daarnaast zijn afspraken over de geldende minimumopzegtermijnen noodzakelijk.
Beschrijving van de diensten en uitbesteding aan onderaannemers
Er moet een duidelijke en volledige beschrijving van alle diensten zijn; daarnaast moet in geval van een kritieke of belangrijke functie aangegeven worden of uitbesteding is toegestaan en, zo ja, onder welke voorwaarden. In ieder geval geldt dat de IT-leverancier verantwoordelijk blijft voor de diensten die hij uitbesteedt en verplicht is de prestaties van de uitbestede diensten continu te monitoren.
Locaties
De locaties waar de diensten worden geleverd en verwerkt zijn vastgelegd; daarnaast geldt dat de leverancier de financiële instelling vooraf in kennis moet stellen als hij voornemens is de locatie te veranderen.
Bescherming van gegevens
Bepalingen ten aanzien van beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid met betrekking tot de bescherming van gegevens, met inbegrip van persoonsgegevens.
Toegang, herstel en teruggave van gegevens
Bepalingen om de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van de gegevens te waarborgen in situaties van insolventie, stopzetting van de bedrijfsactiviteiten van de IT-leverancier of de beëindiging van de overeenkomst.
Dienstenniveaus
Afspraken over het niveau van de diensten, bijvoorbeeld door Key Performance Indicators (KPI’s) af te spreken in een Service Level Agreement (SLA).
Bijstand in geval van ICT-incidenten
Een verplichting voor de IT-leverancier om de financiële instelling bijstand te verlenen bij een ICT-incident.
Medewerkingsverplichtingen toezichthouders
De IT-leverancier is verplicht volledige medewerking te verlenen aan de bevoegde autoriteiten.
Bewustmakingsprogramma’s
Afspraken over de deelname van IT-leveranciers aan bewustmakingsprogramma’s op het gebied van IT-beveiliging die door de financiële instelling worden georganiseerd.
Aanvullende contractuele eisen bij belangrijke of kritieke functie
In aanvulling op de bovenstaande eisen gelden de volgende contractuele eisen als sprake is van een kritieke of belangrijke functie zoals bedoeld in DORA.
Exitstrategieën (alleen bij kritiek/belangrijk)
De financiële instantie is verplicht exitstrategieën in te voeren zodat, bijvoorbeeld als de IT-leverancier tekortschiet of de overeenkomst wordt beëindigd, een overgang gedurende een passende overgangsperiode naar een andere IT-leverancier zonder verstoring van de bedrijfsactiviteiten geborgd is. De exitplannen die worden opgesteld, zijn alomvattend, worden voldoende getest en worden regelmatig geëvalueerd.
Monitoring prestatiedoelstellingen (alleen bij kritiek/belangrijk)
Beschrijvingen van het volledige niveau van dienstverlening (zie ook ‘dienstenniveaus’), met inbegrip van actualiseringen en herzieningen daarvan met nauwkeurige prestatiedoelstellingen zodat de financiële instelling een doeltreffende monitoring van de ICT-diensten kan verrichten.
Rapportageverplichtingen (alleen bij kritiek/belangrijk)
De IT-leverancier is verplicht om ontwikkelingen die materiële gevolgen kunnen hebben voor de levering van de overeengekomen diensten te rapporteren.
Bedrijfsnoodplannen (alleen bij kritiek/belangrijk)
De IT-leverancier heeft de verplichting om bedrijfsnoodplannen in te voeren en periodiek te testen.
Periodieke pentesten (Threat Lead Penetration Tests, TLPT) (alleen bij kritiek/belangrijk)
De IT-leverancier is verplicht deel te nemen en mee te werken aan TLPT’s van de financiële instelling.
Permanente monitoring (audit) (alleen bij kritiek/belangrijk)
De financiële instelling heeft het recht om de prestaties van de IT-leverancier permanent te monitoren, onder meer door onbeperkte rechten van toegang, inspectie en audit.
Hoe worden de contractuele eisen die voortvloeien uit DORA in de praktijk geïmplementeerd?
Een IT-leverancier die diensten aan financiële instanties levert, zal vroeg of laat te maken krijgen met de eisen die uit DORA voortvloeien. Bij een bestaande overeenkomst bestaat de mogelijkheid dat de IT-leverancier wordt gevraagd om de overeenkomst aan te passen, bijvoorbeeld door middel van een addendum waarin ontbrekende contractuele eisen worden vastgelegd. Voor IT-leveranciers die diensten leveren aan meerdere financiële instellingen kan het verstandig zijn om proactief een standaard DORA-addendum op te stellen. Dit voorkomt de noodzaak om voor elke financiële instelling een apart maatwerk-addendum te onderhandelen.
Wat zijn “kritieke derde aanbieders van ICT-diensten”?
In DORA worden “kritieke derde aanbieders van ICT-diensten” onderscheiden (Critical Third Party Providers, CTPP). Deze grote IT-leveranciers zijn kritiek voor de operationele weerbaarheid van de gehele financiële sector. Deze CTPP’s worden door de Europese Toezichthoudende Autoriteiten (ETA’s) aangewezen op basis van vastgelegde criteria. Opvallend is dat een IT-leverancier die als CTPP wordt aangewezen, gecontroleerd kan worden door de bevoegde Europese financiële toezichthouder, bijvoorbeeld door het uitvoeren van inspecties. Ook zijn de toezichthouders bevoegd om dwangsommen op te leggen als bijvoorbeeld een CTPP niet meewerkt met een toezichthouder.
DORA standaardaddenda van de Nederlandse brancheverenigingen DUFAS, VV&A, de Pensioenfederatie en het Verbond van Verzekeraars
De brancheverenigingen DUFAS, VV&A, de Pensioenfederatie en het Verbond van Verzekeraars hebben gezamenlijk standaardaddenda ontwikkeld om te voldoen aan de contractuele eisen die voortvloeien uit DORA. Deze addenda worden veelvuldig door financiële instellingen ingezet richting hun IT-leveranciers, vaak met de mededeling dat ze de marktstandaard vertegenwoordigen. Hoewel de addenda zorgvuldig zijn opgesteld, moet de financiële instelling bij het invullen diverse keuzes maken.
De eerste keuze betreft het type addendum: voor kritische of belangrijke diensten—met zwaardere verplichtingen voor de leverancier—of voor reguliere IT-diensten. Het spreekt voor zich dat het juiste addendum wordt gekozen op basis van de aard van de dienst. Daarnaast biedt elk addendum een aantal optionele keuzes die niet rechtstreeks uit DORA voortvloeien. Ook kunnen sommige DORA-verplichtingen op verschillende manieren worden ingevuld. Daarom is het, zelfs als het addendum als marktstandaard wordt beschouwd, van belang om deze DORA-addenda kritisch te beoordelen.
DORA Standard Addenda from the (Dutch) industry associations DUFAS, VV&A, the Pension Federation, and the Dutch Association of Insurers
The industry associations DUFAS, VV&A, the Pension Federation, and the Dutch Association of Insurers have jointly developed standard addenda to meet the contractual requirements of DORA. These addenda are frequently used by financial institutions with their IT suppliers, often with the assertion that they represent the market standard. While the addenda themselves are carefully drafted, several choices are be made by the financial institutions when filling them out.
The first choice concerns the type of addendum: either the addendum for critical or important services—which imposes heavier obligations on the supplier—or the addendum for regular IT services. Naturally, the addendum that aligns with the specific service should be chosen. Additionally, each addendum contains a number of optional choices that do not directly stem from DORA. Certain DORA obligations can also be fulfilled in multiple ways. Therefore, even if these addenda are considered a market standard, it is important to critically review them.
DORA diensten van Penrose voor IT-leveranciers
Penrose kan ondersteunen bij het beoordelen van een door een financiële instelling opgesteld DORA-addendum, om te verzekeren dat alleen de minimale verplichtingen volgens DORA zijn opgenomen. Wij kunnen u ook ondersteunen bij het opstellen van een eigen DORA-addendum, mocht u meerdere financiële instellingen als klant hebben. Daarnaast kunnen wij bestaande overeenkomsten beoordelen op DORA-conformiteit en de geldende DORA-vereisten hierin verwerken.
Meer weten?
I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.