Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Analyse Europese toezichthouders toont concentratierisico’s bij kritieke ICT-uitbestedingen

Nieuwsbericht toezicht

Financiële instellingen besteden kritieke diensten en processen in toenemende mate uit aan partijen die buiten het directe toezicht op financiële instellingen vallen. Uitbestedingsketens worden complexer, er ontstaan (nieuwe) concentratierisico's en niet altijd is duidelijk waar (kritieke) data zich bevindt.

Gepubliceerd: 04 oktober 2023

ICT programmeurs discussiëren over code.

Aanvullende eisen aan de beheersing van IT- en cyberrisico’s in uitbestedingsketens

De Digital Operational Resilience Act (DORA) die op 17 januari 2025 van toepassing is, stelt stringente eisen aan het beheersen van IT- en cyberrisico’s in uitbestedingsketens en het verkrijgen van toereikende assurance over de gehele uitbestedingsketen. Een goed voorbeeld daarbij is het afleggen van verantwoording in de vorm van een jaarlijks IT-verslag / IT assurance rapportage.

Ook biedt DORA toezichthouders meer handvatten om kritieke derde partijen onder een oversight raamwerk te plaatsen, waardoor (Europese) toezichthouders directe toegang krijgen tot kritieke dienstverleners en daar onderzoek kunnen doen naar hun cyberweerbaarheid.

Europese toezichthouders presenteren een analyse van ICT-uitbestedingen door financiële entiteiten in de EU

De drie Europese toezichthoudende autoriteiten EBA, EIOPA en ESMA hebben in 2022 samen met de bevoegde nationale toezichthouders een gezamenlijke analyse uitgevoerd naar het gebruik van uitbestede  ICT-diensten. Het resultaat is een overzicht  van de levering van (ICT)-diensten door externe ICT dienstverleners (TPP’s) aan de financiële entiteiten van de EU. De analyse is uitgevoerd ter voorbereiding op de implementatie van de Digital Operational Resilience Act (DORA).

Uit de analyse van de data-uitvraag werden circa 15.000 ICT-TPP's geïdentificeerd die rechtstreeks diensten leveren aan circa 1600 financiële entiteiten die deelnamen aan deze uitvraag. De analyse geeft meer onderbouwing van het beeld dat financiële instellingen voor hun kritieke en belangrijke diensten afhankelijk zijn van externe ICT-dienstverleners en de aard van deze ICT-diensten. Verder laat de analyse zien dat een beperkte groep van ICT-dienstverleners essentieel is voor de dienstverlening van financiële instellingen en dat die ICT-diensten vaak niet eenvoudig uitwisselbaar zijn, hetgeen leidt tot concentratierisico’s.

Bovendien wijst het rapport op een potentieel hoge mate van onderlinge verbondenheid en onderlinge afhankelijkheid tussen ICT-dienstverleners. Dit leidt enerzijds tot bezorgdheid over concentratierisico’s in de sector; anderzijds leidt de hoge mate van onderlinge verbondenheid tot cyberrisico’s voor de financiële instellingen. Immers, potentiële kwetsbaarheden bij dienstverleners in de uitbestedingsketen kunnen impact hebben op de financiële instelling zelf.

Voorbereiding op toekomstige uitvragen en analyses

In het kader van DORA zal de uitvraag aan financiële instellingen van kritieke en belangrijke diensten door ICT-dienstverleners periodiek worden herhaald met als doel het zicht op het EU dienstverlenerslandschap actueel te houden.

Om te borgen dat het overzicht van kritieke derde partijen actueel blijft, eist DORA dat financiële instellingen periodiek hun volledige uitbestedingsregister met de toezichthouder delen. De instellingen en DNB bereiden zich nu al voor op deze situatie.

DORA is sinds 17 januari 2023 in werking getreden en is van toepassing per 17 januari 2025.

Meer informatie over de analyse van EBA, EiOPA en ESMa: ESAs publish report on the landscape of ICT third-party providers in the EU (europa.eu)

DNB publiceert in het kader van de Europese cyberbeveiligingsmaand in oktober een aantal nieuwsberichten over cybersecurity en daaraan gerelateerde onderwerpen.

Met dit bericht vraagt DNB aandacht voor DORA en cyberrisico’s in uitbestedingsketens.

De Europese cyberbeveiligingsmaand is de jaarlijkse campagne van de Europese Unie die is gericht op het bevorderen van cyberbeveiliging onder EU-burgers en -organisaties, en het verstrekken van actuele beveiligingsinformatie door middel van bewustmaking en het delen van Good Practices. De campagne wordt ondersteund door EU-lidstaten en honderden partners uit Europa en daarbuiten.