Informatiebijeenkomst over personentoetsingen DNB
Op dinsdag 5 november a.s. organiseert DNB van 15.00 tot 16.45 uur een fysieke informatiebijeenkomst over personentoetsingen.
Lees meer Informatiebijeenkomst over personentoetsingen DNBU gebruikt een verouderde browser. DNB.nl werkt het beste met:
17 januari 2025, de datum waarop de Digital Operational Resilience Act (DORA) van toepassing is, nadert snel. Instellingen hebben nog enkele maanden om DORA te implementeren. DNB heeft in haar jaarlijkse uitvraag gepolst hoe de implementatie van deze regelgeving vordert bij instellingen. Uit de resultaten blijkt dat er nog veel werk verzet moet worden in de resterende korte implementatieperiode.
Gepubliceerd: 11 juli 2024
Uit de uitkomsten van de vragenlijst blijkt dat veel instellingen nog druk zijn met het uitvoeren van een gap-analyse - of van plan zijn om dit te gaan doen - op zowel de DORA verordening als de onderliggende regelgeving (RTS/ITS). DNB onderschrijft het belang van een gedegen gap-analyse ter voorbereiding op een tijdige implementatie van DORA.
Tegelijkertijd raadt DNB instellingen aan om met een passende urgentie deze gap-analyse af te ronden. Een gap-analyse geeft namelijk inzichten in welke stappen nog moeten worden ondernomen met betrekking tot de aanpassing van beleid, processen, controlemaatregelen en contracten met dienstverleners. De implementatie van de gesignaleerde tekortkomingen moet niet worden onderschat, want in de praktijk blijkt dat sommige aanpassingen mogelijk veel doorlooptijd vergen.
Voorbeelden hiervan zijn het vereiste informatieregister, het ‘DORA compliant’ maken van de (registratie van) contracten met kritieke en niet kritieke ICT-dienstverleners en de monitoring van gehele uitbestedingsketens en de rapportages hierover. Om de benodigde informatie over ICT-contracten in het informatieregister vast te kunnen leggen, is data benodigd uit verschillende bestaande administratieve systemen. Deze is vaak niet centraal in de organisatie belegd. In veel gevallen zijn systeemaanpassingen noodzakelijk om tot één centrale vastlegging te komen.
Het realiseren van de hierboven geschetste punten vergt overleg met uw ICT- dienstverleners en mogelijk ook aanpassingen (met doorlooptijd) bij uw ICT- dienstverlener. Mogelijk is het nodig dat uw ICT-dienstverlener de monitoring van de uitbestedingsketens verder aanscherpt in overleg met haar onderuitbestedingsrelaties. Dit kan veel tijd kosten.
Uit de uitvraag blijkt tegelijkertijd dat er ook veel instellingen zijn die de gap-analyse hebben afgerond en al van start zijn gegaan met de implementatie van hun programma’s. Daarbij valt op dat er nog de nodige inspanningen verricht moeten worden om de reeds geïdentificeerde gaps te dichten.
Het implementeren van aanpassingen, zoals eerder benoemd, kan veel doorlooptijd vergen. Daarom moedigt DNB instellingen aan de voorbereiding op DORA gestructureerd en voortvarend op te pakken. Een programma onder verantwoordelijkheid van het bestuur of de directie, waarvan de voortgang wordt bewaakt en waarover periodiek wordt gerapporteerd, draagt positief bij aan een tijdige implementatie van DORA.
Wat komt er op instellingen af na 17 januari 2025?
Na de implementatiedeadline van 17 januari 2025 moeten instellingen voldoen aan zowel de DORA-verordening als de onderliggende RTS/ITS. DNB verwacht in het eerste kwartaal van 2025 het informatieregister op te vragen met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten. Dit ten behoeve van de Europese aanwijzing van kritieke derde aanbieders van ICT-diensten (CTPP’s) binnen het Oversight Framework van DORA. Tegelijkertijd is het noodzakelijk dat instellingen een proces hebben ingericht voor het melden van ICT-incidenten, dat voldoet aan de DORA-eisen. Onderzoeken en uitvragen worden risicogebaseerd en proportioneel ingezet ten aanzien van het toezicht op de naleving van DORA.
Vanaf 17 januari 2025 is DORA het wettelijke kader voor operationele weerbaarheid en vervangt daarmee de huidige Good Practice Informatiebeveiliging 2023 voor de instellingen die onder de reikwijdte van DORA vallen. DNB zal DORA als wettelijk kader hanteren bij toekomstige uitvragen en onderzoeken. U kunt de Good Practice Informatiebeveiliging 2023 als wegwijzer gebruiken om prioriteit te geven aan maatregelen die de belangrijkste risico’s mitigeren.
Op dinsdag 5 november a.s. organiseert DNB van 15.00 tot 16.45 uur een fysieke informatiebijeenkomst over personentoetsingen.
Lees meer Informatiebijeenkomst over personentoetsingen DNBPensioenfondsen maken voor het toedelen van het totale vermogen aan hun deelnemers gebruik van omrekenmethoden en modellen. DNB heeft geconstateerd dat een deel van de fondsen de uit te voeren plausibiliteitscontroles op modellen en omrekenmethodes nog onvoldoende heeft uitgewerkt.
Lees meer TRANSITIENIEUWS - Good practice plausibiliteitscontrole modellen en berekeningen WTP-transitie gepubliceerdOp donderdag 26 september hield DNB de tweede editie van het WTP-Webinar. Deze editie ging over ‘De nadere invulling van pensioenbeheer in het implementatieplan’. DNB heeft bij de Good Practices drie hoofdboodschappen gedeeld.
Lees meer TRANSITIENIEUWS – Terugkoppeling WTP-Webinar van 26 september 2024: De nadere invulling van pensioenbeheer in het implementatieplanMet de inwerkingtreding van artikel 3:267e van de Wet op het financieel toezicht (Wft) wil DNB door middel van een Q&A een toelichting geven op de reikwijdte van het instemmingsvereiste voor activa intensieve herverzekeringen bij DNB.
Lees meer DNB consulteert de Q&A beoordeling herverzekeringscontracten DNBOm de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies.
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.