CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten
Deze zomer publiceerden de Europese toezichthoudende autoriteiten (EBA, EIOPA en ESMA – samen de ESA's) een consultatie over de eerste reeks beleidsproducten onder de Digital Operational Resilience Act (DORA). Deze technische normen zijn bedoeld om een consistent en geharmoniseerd juridisch kader te garanderen op het gebied van ICT-risicobeheer, de rapportage van grote ICT-gerelateerde incidenten en ICT-risicobeheer van derden. Op 11 september 2023 reageerde DUFAS op deze consultatie.
Met het proportionaliteitsbeginsel wordt geen rekening gehouden
Wij maken ons zorgen over de toepassing van het proportionaliteitsbeginsel in de geconsulteerde RTS- en ITS-documenten (ook wel de level 2-teksten genoemd). De level 2-teksten schrijven op een heel gedetailleerde manier voor hoe instellingen aan de DORA-verplichtingen moeten voldoen, waarbij er voor de instellingen weinig ruimte is voor een risicogebaseerde aanpak. Het niveau van detail van de voorschriften resulteert effectief in een vertaling van de DORA level 1-principle based-vereisten in level 2-rule based-vereisten, die strenger zijn dan nodig is voor een vermogensbeheerder om een goed niveau van digitale operationele veerkracht te bereiken.
De koffieautomaat in scope?
Een voorbeeld waaruit blijkt dat er niet of nauwelijks met de proportionaliteit rekening wordt gehouden, is dat veel verplichtingen van de level 2-documenten het hebben over 'alle ICT-assets'. We zijn ervan overtuigd dat het niet in de geest van DORA is om alle ICT-middelen of -diensten die een IT-component bevatten onder DORA te scharen, wat zou betekenen dat een cateraar die gebruikmaakt van een kassasysteem, of een koffieautomaat waar software in zit, in scope zouden zijn. Als DORA op deze manier moet worden toegepast, is zij waarschijnlijk contraproductief bij het bereiken van digitale operationele veerkracht. Zeker als je denkt aan de grote inspanning die de verplichtingen kosten, terwijl de risico's op basis van een risicoanalyse maar heel beperkt kunnen blijken.
De impact van DORA op het milieu
Ook pleiten we ervoor om rekening te houden met de milieu-impact die sommige verplichtingen met zich meebrengen. Zo leidt een wekelijkse vulnerability scan voor alle ICT-assets – zonder rekening te houden met de classificatie van de ICT-asset of het complete risicoprofiel – door alle instellingen die wereldwijd onder DORA vallen tot een enorme verspilling van energie. Daarom pleiten we voor meer discretie voor de financiële instellingen die onder DORA vallen, waarbij beleid en processen risicogebaseerd kunnen worden uitgewerkt.
Meer informatie
Wil je meer weten of heb je vragen over deze consultatie? Stuur een mail naar Manouk Fles, manager regulatory affairs bij DUFAS. Onze Operational Resilience & Outsourcing-expertgroep blijft de ontwikkelingen rond DORA actief volgen en delen met onze leden.
