Home - Standpunten en publicaties - CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten
14 september 2023

CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten

Deze zomer publiceerden de Europese toezichthoudende autoriteiten (EBA, EIOPA en ESMA – samen de ESA's) een consultatie over de eerste reeks beleidsproducten onder de Digital Operational Resilience Act (DORA). Deze technische normen zijn bedoeld om een consistent en geharmoniseerd juridisch kader te garanderen op het gebied van ICT-risicobeheer, de rapportage van grote ICT-gerelateerde incidenten en ICT-risicobeheer van derden. Op 11 september 2023 reageerde DUFAS op deze consultatie.

Bekijk onze reactie

Met het proportionaliteitsbeginsel wordt geen rekening gehouden

Wij maken ons zorgen over de toepassing van het proportionaliteitsbeginsel in de geconsulteerde RTS- en ITS-documenten (ook wel de level 2-teksten genoemd). De level 2-teksten schrijven op een heel gedetailleerde manier voor hoe instellingen aan de DORA-verplichtingen moeten voldoen, waarbij er voor de instellingen weinig ruimte is voor een risicogebaseerde aanpak. Het niveau van detail van de voorschriften resulteert effectief in een vertaling van de DORA level 1-principle based-vereisten in level 2-rule based-vereisten, die strenger zijn dan nodig is voor een vermogensbeheerder om een goed niveau van digitale operationele veerkracht te bereiken.

De koffieautomaat in scope?

Een voorbeeld waaruit blijkt dat er niet of nauwelijks met de proportionaliteit rekening wordt gehouden, is dat veel verplichtingen van de level 2-documenten het hebben over 'alle ICT-assets'. We zijn ervan overtuigd dat het niet in de geest van DORA is om alle ICT-middelen of -diensten die een IT-component bevatten onder DORA te scharen, wat zou betekenen dat een cateraar die gebruikmaakt van een kassasysteem, of een koffieautomaat waar software in zit, in scope zouden zijn. Als DORA op deze manier moet worden toegepast, is zij waarschijnlijk contraproductief bij het bereiken van digitale operationele veerkracht. Zeker als je denkt aan de grote inspanning die de verplichtingen kosten, terwijl de risico's op basis van een risicoanalyse maar heel beperkt kunnen blijken.

De impact van DORA op het milieu

Ook pleiten we ervoor om rekening te houden met de milieu-impact die sommige verplichtingen met zich meebrengen. Zo leidt een wekelijkse vulnerability scan voor alle ICT-assets – zonder rekening te houden met de classificatie van de ICT-asset of het complete risicoprofiel – door alle instellingen die wereldwijd onder DORA vallen tot een enorme verspilling van energie. Daarom pleiten we voor meer discretie voor de financiële instellingen die onder DORA vallen, waarbij beleid en processen risicogebaseerd kunnen worden uitgewerkt.

Meer informatie

Wil je meer weten of heb je vragen over deze consultatie? Stuur een mail naar Manouk Fles, manager regulatory affairs bij DUFAS. Onze Operational Resilience & Outsourcing-expertgroep blijft de ontwikkelingen rond DORA actief volgen en delen met onze leden.

Misschien vind je dit ook interessant

CONSULTATIE | DUFAS response on ESG ratings and factors

Standpunten en publicaties | 15 september 2023
Last June, the European Commission published a consultation on a proposal for a regulation on Environmental, Social and Governance (ESG) ratings and sustainability risks in credit ratings.

DUFAS vraagt meer duidelijkheid over reikwijdte van CSRD-implementatiewet

Standpunten en publicaties | 15 september 2023
Afgelopen juli publiceerden de ministeries van Financiën en van Justitie en Veiligheid een openbare consultatie over de Wet implementatie richtlijn duurzaamheidsrapportering. Met deze implementatiewet wordt een deel van de nieuwe richtlijn omgezet in nationale wet- regelgeving.

CONSULTATIE | Reactie op EC-voorstellen over Retail Investment Strategy

Standpunten en publicaties | 29 augustus 2023
DUFAS maakt zich zorgen over het voorstel rond kostenbenchmarking als onderdeel van het value for money-concept. De manier waarop de Europese Commissie (EC) dit voorstelt, kan leiden tot prijsinterventie.

Zoeken in Nieuws, standpunten en publicaties