Aanvullende eisen aan de beheersing van IT- en cyberrisico’s in uitbestedingsketens
De Digital Operational Resilience Act (DORA) die op 17 januari 2025 van toepassing is, stelt stringente eisen aan het beheersen van IT- en cyberrisico’s in uitbestedingsketens en het verkrijgen van toereikende assurance over de gehele uitbestedingsketen. Een goed voorbeeld daarbij is het afleggen van verantwoording in de vorm van een jaarlijks IT-verslag / IT assurance rapportage.
Ook biedt DORA toezichthouders meer handvatten om kritieke derde partijen onder een oversight raamwerk te plaatsen, waardoor (Europese) toezichthouders directe toegang krijgen tot kritieke dienstverleners en daar onderzoek kunnen doen naar hun cyberweerbaarheid.
Europese toezichthouders presenteren een analyse van ICT-uitbestedingen door financiële entiteiten in de EU
De drie Europese toezichthoudende autoriteiten EBA, EIOPA en ESMA hebben in 2022 samen met de bevoegde nationale toezichthouders een gezamenlijke analyse uitgevoerd naar het gebruik van uitbestede ICT-diensten. Het resultaat is een overzicht van de levering van (ICT)-diensten door externe ICT dienstverleners (TPP’s) aan de financiële entiteiten van de EU. De analyse is uitgevoerd ter voorbereiding op de implementatie van de Digital Operational Resilience Act (DORA).
Uit de analyse van de data-uitvraag werden circa 15.000 ICT-TPP's geïdentificeerd die rechtstreeks diensten leveren aan circa 1600 financiële entiteiten die deelnamen aan deze uitvraag. De analyse geeft meer onderbouwing van het beeld dat financiële instellingen voor hun kritieke en belangrijke diensten afhankelijk zijn van externe ICT-dienstverleners en de aard van deze ICT-diensten. Verder laat de analyse zien dat een beperkte groep van ICT-dienstverleners essentieel is voor de dienstverlening van financiële instellingen en dat die ICT-diensten vaak niet eenvoudig uitwisselbaar zijn, hetgeen leidt tot concentratierisico’s.
Bovendien wijst het rapport op een potentieel hoge mate van onderlinge verbondenheid en onderlinge afhankelijkheid tussen ICT-dienstverleners. Dit leidt enerzijds tot bezorgdheid over concentratierisico’s in de sector; anderzijds leidt de hoge mate van onderlinge verbondenheid tot cyberrisico’s voor de financiële instellingen. Immers, potentiële kwetsbaarheden bij dienstverleners in de uitbestedingsketen kunnen impact hebben op de financiële instelling zelf.
Voorbereiding op toekomstige uitvragen en analyses
In het kader van DORA zal de uitvraag aan financiële instellingen van kritieke en belangrijke diensten door ICT-dienstverleners periodiek worden herhaald met als doel het zicht op het EU dienstverlenerslandschap actueel te houden.
Om te borgen dat het overzicht van kritieke derde partijen actueel blijft, eist DORA dat financiële instellingen periodiek hun volledige uitbestedingsregister met de toezichthouder delen. De instellingen en DNB bereiden zich nu al voor op deze situatie.
DORA is sinds 17 januari 2023 in werking getreden en is van toepassing per 17 januari 2025.
Meer informatie over de analyse van EBA, EiOPA en ESMa: ESAs publish report on the landscape of ICT third-party providers in the EU (europa.eu)