Financiële instellingen besteden kritieke diensten en processen in toenemende mate uit aan partijen die buiten het directe toezicht op financiële instellingen vallen. Uitbestedingsketens worden complexer, er ontstaan (nieuwe) concentratierisico's en niet altijd is duidelijk waar (kritieke) data zich bevindt.
© iStock
De Digital Operational Resilience Act (DORA) die op 17 januari 2025 van toepassing is, stelt stringente eisen aan het beheersen van IT- en cyberrisico’s in uitbestedingsketens en het verkrijgen van toereikende assurance over de gehele uitbestedingsketen. Een goed voorbeeld daarbij is het afleggen van verantwoording in de vorm van een jaarlijks IT-verslag / IT assurance rapportage.
Ook biedt DORA toezichthouders meer handvatten om kritieke derde partijen onder een oversight raamwerk te plaatsen, waardoor (Europese) toezichthouders directe toegang krijgen tot kritieke dienstverleners en daar onderzoek kunnen doen naar hun cyberweerbaarheid.
De drie Europese toezichthoudende autoriteiten EBA, EIOPA en ESMA hebben in 2022 samen met de bevoegde nationale toezichthouders een gezamenlijke analyse uitgevoerd naar het gebruik van uitbestede ICT-diensten. Het resultaat is een overzicht van de levering van (ICT)-diensten door externe ICT dienstverleners (TPP’s) aan de financiële entiteiten van de EU. De analyse is uitgevoerd ter voorbereiding op de implementatie van de Digital Operational Resilience Act (DORA).
Uit de analyse van de data-uitvraag werden circa 15.000 ICT-TPP's geïdentificeerd die rechtstreeks diensten leveren aan circa 1600 financiële entiteiten die deelnamen aan deze uitvraag. De analyse geeft meer onderbouwing van het beeld dat financiële instellingen voor hun kritieke en belangrijke diensten afhankelijk zijn van externe ICT-dienstverleners en de aard van deze ICT-diensten. Verder laat de analyse zien dat een beperkte groep van ICT-dienstverleners essentieel is voor de dienstverlening van financiële instellingen en dat die ICT-diensten vaak niet eenvoudig uitwisselbaar zijn, hetgeen leidt tot concentratierisico’s.
Bovendien wijst het rapport op een potentieel hoge mate van onderlinge verbondenheid en onderlinge afhankelijkheid tussen ICT-dienstverleners. Dit leidt enerzijds tot bezorgdheid over concentratierisico’s in de sector; anderzijds leidt de hoge mate van onderlinge verbondenheid tot cyberrisico’s voor de financiële instellingen. Immers, potentiële kwetsbaarheden bij dienstverleners in de uitbestedingsketen kunnen impact hebben op de financiële instelling zelf.
In het kader van DORA zal de uitvraag aan financiële instellingen van kritieke en belangrijke diensten door ICT-dienstverleners periodiek worden herhaald met als doel het zicht op het EU dienstverlenerslandschap actueel te houden.
Om te borgen dat het overzicht van kritieke derde partijen actueel blijft, eist DORA dat financiële instellingen periodiek hun volledige uitbestedingsregister met de toezichthouder delen. De instellingen en DNB bereiden zich nu al voor op deze situatie.
DORA is sinds 17 januari 2023 in werking getreden en is van toepassing per 17 januari 2025.
Meer informatie over de analyse van EBA, EiOPA en ESMa: ESAs publish report on the landscape of ICT third-party providers in the EU (europa.eu)
DNB publiceert in het kader van de Europese cyberbeveiligingsmaand in oktober een aantal nieuwsberichten over cybersecurity en daaraan gerelateerde onderwerpen.
Met dit bericht vraagt DNB aandacht voor DORA en cyberrisico’s in uitbestedingsketens.
De Europese cyberbeveiligingsmaand is de jaarlijkse campagne van de Europese Unie die is gericht op het bevorderen van cyberbeveiliging onder EU-burgers en -organisaties, en het verstrekken van actuele beveiligingsinformatie door middel van bewustmaking en het delen van Good Practices. De campagne wordt ondersteund door EU-lidstaten en honderden partners uit Europa en daarbuiten.
De Nederlandsche Bank (DNB) heeft op 16 november 2023 een bestuurlijke boete van € 10.000,- opgelegd aan Pelican Payment Services B.V. (PPS). De bestuurlijke boete is opgelegd, omdat PPS de wettelijk verplichte jaarrekening over het boekjaar 2022 niet aan DNB heeft verstrekt.
Lees meer Boete voor Pelican Payment Services B.V. wegens niet tijdig rapporteren
De Nederlandsche Bank publiceert een nieuw document dat financiële instellingen praktische handvatten geeft bij de vervulling van hun rol als poortwachter ter bescherming van de sector tegen financieel economische criminaliteit. Een belangrijk uitgangspunt daarbij is de risicogebaseerde benadering.
Lees meer Resultaten consultatie Q&As en Good Practices Wwft
In het eerste kwartaal van 2024 is de dekkingsgraad van de pensioensector verbeterd ten opzichte van het vorige kwartaal. Dit komt doordat de waarde van de verplichtingen minder toenam dan de waarde van de beleggingen.
Lees meer Dekkingsgraad pensioensector verbeterd
DNB kijkt terug op een geslaagd DNB pensioenseminar 2024 in DeFabrique in Utrecht. Dinsdag 9 april hebben meer dan 300 pensioenbestuurders en uitvoerders het seminar bijgewoond.
Lees meer TRANSITIENIEUWS - Pensioenseminar 2024: in dialoog over de transitie
