In de reactie op de eerste batch level-2 teksten uitten we onze zorgen over de beperkte toepassing van het algemene proportionaliteitsbeginsel zoals in DORA zelf is opgenomen. Ook in de tweede batch beleidsdocumenten lijkt er beperkt ruimte voor de toepassing van proportionaliteit. Zo is er voor de tijdslijnen van het rapporteren over incidenten gekeken naar de NIS2-verordening. Daarmee zijn de strakke tijdslijnen voor de uitvoerige rapportages ook van toepassing voor entiteiten die niet in scope zijn van die verordening, terwijl de ESAs in hun mandaat de nadrukkelijke mogelijkheid is geboden rekening te houden met verschillende typen ondernemingen. Ook ten aanzien van de verplichtingen die zijn opgenomen met betrekking tot subcontractors lijkt de toepassingsmogelijkheid van het proportionaliteitsbeginsel beperkt. Zo is in het eerste artikel van de RTS wel een lijst van elementen opgenomen die kunnen leiden tot een verhoogd of verlaagd risico bij het gebruik van subcontractors, maar is de impact van die analyse op de toepassing van de verplichtingen die zijn opgenomen in de RTS beperkt.
De geconsulteerde beleidsdocumenten brengen verregaande verplichtingen met zich mee, zoals het aanleveren van complexe rapportages over incidenten en kosten van incidenten, het monitoren van subcontractors en het uitvoeren van threat led penetration testing. Hoewel de ESAs (bijvoorbeeld in de toelichting op de RTS over subcontractors) inschatten dat de kosten van implementatie gering zijn, zullen de uitgebreide voorschriften en de beperkte toepassingsmogelijkheden van het proportionaliteitsbeginsel leiden tot een aanzienlijke toename van de werkdruk en daarmee ook de kosten.
Wil je meer weten of heb je vragen over deze consultatie? Stuur een mail naar Manouk Fles, manager regulatory affairs bij DUFAS. Onze Operational Resilience & Outsourcing-expertgroep blijft de ontwikkelingen rond DORA actief volgen en delen met onze leden.