Home - Standpunten en publicaties - CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten
14 september 2023

CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten

Deze zomer publiceerden de Europese toezichthoudende autoriteiten (EBA, EIOPA en ESMA – samen de ESA's) een consultatie over de eerste reeks beleidsproducten onder de Digital Operational Resilience Act (DORA). Deze technische normen zijn bedoeld om een consistent en geharmoniseerd juridisch kader te garanderen op het gebied van ICT-risicobeheer, de rapportage van grote ICT-gerelateerde incidenten en ICT-risicobeheer van derden. Op 11 september 2023 reageerde DUFAS op deze consultatie.

Bekijk onze reactie

Met het proportionaliteitsbeginsel wordt geen rekening gehouden

Wij maken ons zorgen over de toepassing van het proportionaliteitsbeginsel in de geconsulteerde RTS- en ITS-documenten (ook wel de level 2-teksten genoemd). De level 2-teksten schrijven op een heel gedetailleerde manier voor hoe instellingen aan de DORA-verplichtingen moeten voldoen, waarbij er voor de instellingen weinig ruimte is voor een risicogebaseerde aanpak. Het niveau van detail van de voorschriften resulteert effectief in een vertaling van de DORA level 1-principle based-vereisten in level 2-rule based-vereisten, die strenger zijn dan nodig is voor een vermogensbeheerder om een goed niveau van digitale operationele veerkracht te bereiken.

De koffieautomaat in scope?

Een voorbeeld waaruit blijkt dat er niet of nauwelijks met de proportionaliteit rekening wordt gehouden, is dat veel verplichtingen van de level 2-documenten het hebben over 'alle ICT-assets'. We zijn ervan overtuigd dat het niet in de geest van DORA is om alle ICT-middelen of -diensten die een IT-component bevatten onder DORA te scharen, wat zou betekenen dat een cateraar die gebruikmaakt van een kassasysteem, of een koffieautomaat waar software in zit, in scope zouden zijn. Als DORA op deze manier moet worden toegepast, is zij waarschijnlijk contraproductief bij het bereiken van digitale operationele veerkracht. Zeker als je denkt aan de grote inspanning die de verplichtingen kosten, terwijl de risico's op basis van een risicoanalyse maar heel beperkt kunnen blijken.

De impact van DORA op het milieu

Ook pleiten we ervoor om rekening te houden met de milieu-impact die sommige verplichtingen met zich meebrengen. Zo leidt een wekelijkse vulnerability scan voor alle ICT-assets – zonder rekening te houden met de classificatie van de ICT-asset of het complete risicoprofiel – door alle instellingen die wereldwijd onder DORA vallen tot een enorme verspilling van energie. Daarom pleiten we voor meer discretie voor de financiële instellingen die onder DORA vallen, waarbij beleid en processen risicogebaseerd kunnen worden uitgewerkt.

Meer informatie

Wil je meer weten of heb je vragen over deze consultatie? Stuur een mail naar Manouk Fles, manager regulatory affairs bij DUFAS. Onze Operational Resilience & Outsourcing-expertgroep blijft de ontwikkelingen rond DORA actief volgen en delen met onze leden.

Misschien vind je dit ook interessant

CONSULTATIE | Klimaatwet: Creëer de juiste randvoorwaarden voor het financieren van de klimaattransitie

Standpunten en publicaties | 06 december 2024
De Nederlandse Klimaatwet bepaalt dat het kabinet elke vijf jaar een klimaatplan moet opstellen. In het plan wordt telkens tien jaar vooruitgeblikt op het bereiken van de doelstelling om in 2050 klimaatneutraal te zijn.

POSITION | UBO-definitie voor Fondsen voor Gemene Rekening

Standpunten en publicaties | 02 oktober 2024
In juni 2024 zijn de definitieve teksten van het Europese AML Package (Anti-Money Laundering) gepubliceerd, waaronder de nieuwe Anti-Witwasverordening (AMLR), die regels vaststelt om witwassen en terrorismefinanciering tegen te gaan.

CONSULTATIE | DUFAS reageert op de EBA-ESMA Discussion Paper Call for Advice on the Investment firms prudential framework

Standpunten en publicaties | 05 september 2024
In juni publiceerden EBA en ESMA een Discussion Paper over de call for evidence met betrekking tot het prudentiële raamwerk voor beleggingsondernemingen.

Zoeken in Nieuws, standpunten en publicaties