Digi­tal Ope­ra­ti­o­nal Resi­lien­ce Act: Con­trac­te­ren en samen­wer­ken op groeps­ni­veau

Blog

Published 24 mei 2024 Reading time min Auteur Gigi van Hout Digital, Cyber & Privacy

Op 17 janu­a­ri 2025 wordt de Digi­tal Ope­ra­ti­o­nal Resi­lien­ce Act (DORA) van toe­pas­sing. Met nog maar enke­le maan­den te gaan, werkt de DORA zich bij menig finan­ci­ë­le instel­ling en ICT-dienst­ver­le­ner steeds hoger op de agen­da. De DORA wordt vaak beschre­ven van­uit haar vijf zoge­he­ten pila­ren. Een ander belang­rijk the­ma loopt ver­vloch­ten door de DORA heen, in alle vijf pila­ren; de con­se­quen­ties van DORA op groeps­ver­hou­din­gen. Hier­bij kan ener­zijds gedacht wor­den aan een cen­tra­le inkoop­or­ga­ni­sa­tie bin­nen een groep van finan­ci­ë­le instel­lin­gen, die zelf geen finan­ci­ë­le instel­ling is. Op deze orga­ni­sa­tie is de DORA strikt geno­men daar­om niet van toe­pas­sing maar het regu­le­ren van haar acti­vi­tei­ten, mede mid­dels intragroep­con­trac­ten, is van belang voor de gehe­le groep om te vol­doen aan de DORA. Ander­zijds is het voor groeps­ver­hou­din­gen van belang om de imple­men­ta­tie van de DORA ook te bezien van­uit dit groeps­ver­band.

 

Hier­on­der lich­ten wij enke­le onder­wer­pen toe in rela­tie tot de effec­ten van de DORA op het con­trac­te­ren bin­nen een groep en de samen­wer­king bin­nen een groep voor com­pli­an­ce met de DORA.

 

  1. Con­trac­te­ren met intragroep­dienst­ver­le­ners


Stra­te­gie

Op basis van de DORA kun­nen finan­ci­ë­le instel­lin­gen een holis­ti­sche mul­ti­ven­dor­stra­te­gie vast­stel­len waar het gaat om het land­schap van ICT en bij­be­ho­ren­de leve­ran­ciers. Deze stra­te­gie kan zowel op groeps- of enti­teits­ni­veau wor­den bepaald.[1] Daar­bij is het van belang dat aan­toon­baar gemaakt wordt waar­om voor de samen­stel­ling van de betref­fen­de ICT-dienst­ver­le­ners is geko­zen. Door deze denk­stap ver­plicht te stel­len wordt inzich­te­lijk gemaakt hoe de keu­zes voor ver­schil­len­de ICT-leve­ran­ciers bij­dra­gen aan het voor­ko­men van een te hoog con­cen­tra­tie­ri­si­co bij bepaal­de ICT-leve­ran­ciers en daar­mee een ven­dor lock-in[2].

 

Deze ICT-leve­ran­ciers kun­nen ook enti­tei­ten zijn die onder­deel uit­ma­ken van dezelf­de groep, omdat het ICT-dien­sten inkoopt en ver­vol­gens levert bin­nen die groep. De DORA maakt geen ver­schil tus­sen deze intragroep­dienst­ver­le­ners en exter­ne ICT-leve­ran­ciers: de ver­plich­tin­gen die bestaan in het kader van ICT-leve­ran­ciers zijn op bei­de onver­kort van toe­pas­sing. Zodoen­de moet ook voor­af­gaand aan het con­trac­te­ren met een intragroep­dienst­ver­le­ner een ana­ly­se gemaakt wor­den van de betrok­ken ICT-risico’s, en wat de impact daar­van kan zijn voor zowel de indi­vi­du­e­le finan­ci­ë­le enti­tei­ten als de gehe­le groep.[3]

 

Con­trac­te­ren

In de DORA zijn inhou­de­lij­ke con­trac­tu­e­le ver­eis­ten opge­no­men voor de over­een­kom­sten die finan­ci­ë­le instel­lin­gen slui­ten met ICT-leve­ran­ciers. Deze zijn dus óók van toe­pas­sing als het gaat om intragroep­dienst­ver­le­ners.

 

Een groep moet zor­gen voor een con­sis­tent en samen­han­gend beleid over de uit­be­ste­ding van ICT-dien­sten en de bij­be­ho­ren­de ICT-leve­ran­ciers die kri­tie­ke of belang­rij­ke func­ties onder­steu­nen bin­nen die groep. Zowel de afzon­der­lij­ke enti­tei­ten als de gehe­le groep zul­len daar­om pro­fi­te­ren van een con­trac­tu­eel kader dat op groeps­ni­veau is afge­stemd en dat anti­ci­peert op de geï­den­ti­fi­ceer­de risico’s bin­nen deze groep en de rele­van­te enti­tei­ten. Denk bij­voor­beeld aan een groeps­breed ICT- en leve­ran­ciers­be­leid en con­trac­tu­e­le stan­daar­den voor over­een­kom­sten. Van belang is dat de risico’s op het niveau van indi­vi­du­e­le enti­tei­ten niet uit het oog wor­den ver­lo­ren. Dit con­trac­tu­e­le kader zal ook aan­slui­ten bij een holis­ti­sche mul­ti­ven­dor­stra­te­gie en bij­dra­gen aan het beper­ken van geï­den­ti­fi­ceer­de ICT-risico’s op alle niveaus bin­nen de groep.[4]

 

Risi­co­be­oor­de­ling

Op basis van de DORA zijn finan­ci­ë­le instel­lin­gen ver­plicht om risi­co­be­oor­de­lin­gen uit te voe­ren op hun (poten­ti­ë­le) ICT-dienst­ver­le­ners en gere­la­teer­de Dien­sten.[5] In de DORA wordt onder­kend dat risico’s lager zou­den kun­nen zijn waar een intragroep­dienst­ver­le­ner inge­scha­keld is, door­dat de finan­ci­ë­le instel­ling daar moge­lijk beter grip op heeft dan bij een ‘exter­ne’ ICT-dienst­ver­le­ner. Finan­ci­ë­le instel­lin­gen moe­ten ech­ter – ook waar intragroep­dienst­ver­le­ners wor­den inge­scha­keld – objec­tief aan­to­nen ’waar­om deze ICT-dien­sten onder de over­een­ge­ko­men con­trac­tu­e­le voor­waar­den wor­den afge­no­men.[6] Dat blijkt uit de con­cept­ver­sie van de “Regu­la­to­ry Tech­ni­cal Standards to spe­ci­fy the poli­cy on ICT ser­vi­ces sup­por­ting cri­ti­cal or impor­tant func­ti­ons”[7] beho­ren­de bij de DORA. Daar­mee wordt beoogd te voor­ko­men dat onder te risi­co­vol­le voor­waar­den wordt gecon­trac­teerd van­we­ge de ogen­schijn­lij­ke lage(re) risico’s van de intragroep­ver­hou­ding.

 

Nu in de DORA rui­me ver­plich­tin­gen oplegt omtrent het in kaart bren­gen van ICT-risico’s van zowel indi­vi­du­e­le enti­tei­ten als een gehe­le groep, kan de DORA ook gevol­gen heb­ben voor de mini­mum­ka­pi­taal­ei­sen van deze finan­ci­ë­le enti­tei­ten. ICT-risico’s wor­den name­lijk geclas­si­fi­ceerd als ope­ra­ti­o­ne­le risico’s en de EU-wet­ge­ving ver­bindt aan­vul­len­de voor­waar­den aan de kapi­taal­ve­r­eis­ten in het kader van geï­den­ti­fi­ceer­de risico’s. Deze syn­er­gie tus­sen de DORA en ande­re Euro­pe­se finan­ci­ë­le wet­ge­ving leidt tot moge­lij­ke ver­ster­king van zowel de ope­ra­ti­o­ne­le, digi­ta­le als finan­ci­ë­le veer­kracht van zowel indi­vi­du­e­le enti­tei­ten als groe­pen en daar­mee de finan­ci­ë­le sec­tor als geheel.[8]

 

  1. Intragroep­sa­men­wer­king op com­pli­an­ce

 

Uit­be­ste­den van ver­plich­tin­gen

De DORA bevat moge­lijk­he­den om intragroep bepaal­de ver­plich­tin­gen uit te beste­den. Let wel: indien hier­toe beslo­ten wordt, doet dit niet af aan de ver­ant­woor­de­lijk­heid van die finan­ci­ë­le instel­ling om com­pli­ant te zijn met de DORA.[9] Het heb­ben van bij­voor­beeld één cen­tra­le inkoop- of dienst­ver­le­ner bin­nen de groep die acti­vi­tei­ten ver­richt om ICT-dien­sten te ver­le­nen aan de rest van de groep, beperkt daar­om niet de indi­vi­du­e­le ver­ant­woor­de­lijk­heid van de finan­ci­ë­le instel­ling voor nale­ving van de DORA. Poten­ti­ë­le aan­spra­ke­lijk­heid van het bestuur van de instel­ling is een belang­rij­ke drijf­veer voor het behoud van deze indi­vi­du­e­le ver­ant­woor­de­lijk­heid, ondanks het feit dat men deel uit­maakt van een groep.

 

Ten eer­ste is het moge­lijk om de com­pli­an­ce­ve­ri­fi­ca­tie van de ver­eis­ten in het kader van ICT-risi­co­be­heer uit de DORA uit te beste­den aan ICT-dienst­ver­le­ners.[10] Ten twee­de kan ook beslo­ten wor­den om de rap­por­ta­ge­ver­plich­tin­gen uit hoof­de van de DORA uit te beste­den. Daar­bij is het van belang om op te mer­ken dat het bij­be­ho­ren­de arti­kel spreekt va uit­be­ste­ding van de rap­por­ta­ge­ver­plich­tin­gen aan ‘der­de dienst­ver­le­ner’. Deze der­de dienst­ver­le­ner kent, anders dan de der­de aan­bie­der van ICT-dien­sten, geen eigen defi­ni­tie in de DORA. Hoe­wel het niet spe­ci­fiek uit de DORA volgt, elke dienst­ver­le­nen­de par­tij anders dan de finan­ci­ë­le instel­ling zelf gezien wor­den als een der­de dienst­ver­le­ner. In de geest van de DORA zou aan­ge­no­men kun­nen wor­den dat dit daar­mee elke par­tij bui­ten de finan­ci­ë­le instel­ling betreft. Als van die aan­na­me uit­ge­gaan kan wor­den, dan kan de rap­por­ta­ge­ver­plich­ting ook intragroep uit­be­steed wor­den.[11]

 

Infor­ma­tie­re­gis­ter en -uit­wis­se­ling

Op basis van de DORA is het ver­eist om een regis­ter van infor­ma­tie bij te hou­den, met daar­in de con­trac­tu­e­le afspra­ken die met alle ICT-dienst­ver­le­ners zijn over­een­ge­ko­men, inclu­sief de intragroep­dienst­ver­le­ners. Door dit regis­ter op groeps­ni­veau te onder­hou­den, ont­staat zowel meer grip op de con­trac­tu­e­le aan­pak en beter of de holis­ti­sche con­trac­tu­e­le aan­pak bin­nen de groep wordt nage­leefd. Even­tu­e­le bevin­din­gen kun­nen dan ook cen­traal wor­den bij­ge­stuurd. Het in breed­ste zin uit­wis­se­len van infor­ma­tie bin­nen de groep zal ook de frag­men­ta­tie van kennis en gege­vens met betrek­king tot cyber­se­cu­ri­ty kun­nen ver­klei­nen.[12]

 

  1. Hoe ver­der?

Voor een effi­ci­ën­te en ook duur­za­me imple­men­ta­tie van de DORA kun­nen de voor­de­len maar ook risico’s van zowel intragroep­ver­hou­din­gen als de indi­vi­du­e­le groep­sen­ti­tei­ten abso­luut niet wor­den gene­geerd. Bij de imple­men­ta­tie van de DORA kan ten eer­ste wor­den nage­gaan of spra­ke is van intragroep­dienst­ver­le­ners en of de bij­be­ho­ren­de risico’s op objec­tie­ve wij­ze wor­den beoor­deeld en gemo­ni­t­ord. Daar­bij is het raad­zaam om effi­ci­ën­tie­op­ti­ma­li­sa­tie te onder­zoe­ken door com­pli­an­ce met ver­plich­tin­gen op basis van de DORA op groeps­ni­veau te bewerk­stel­li­gen. Naast de boven­staan­de con­se­quen­ties die de DORA voor groe­pen met zich mee­brengt, is het land­schap van cyber­se­cu­ri­ty­wet­ge­ving ook nog altijd aan het uit­brei­den. Zo zal bij­voor­beeld ook de (nati­o­na­le imple­men­ta­tie van de) twee­de Net­werk- en Infor­ma­tie­be­vei­li­gings­richt­lijn bin­den­de voor­schrif­ten bevat­ten voor indi­vi­du­e­le enti­tei­ten bin­nen een­zelf­de groep. HVG Law advi­seert dan ook over een duur­za­me en prak­ti­sche imple­men­ta­tie van zowel de DORA als ande­re toe­pas­se­lij­ke cyber­wet­ge­ving.

 

 

[1] Arti­kel 6(9) DORA

[2] Arti­kel 29 DORA

[3] Idem

[4] Artt. 28 en 30 DORA

[5] Arti­kel 16 DORA e.v.

[6] Arti­kel 7

[7] Final report on Draft Regu­la­to­ry Tech­ni­cal Standards to spe­ci­fy the detai­led con­tent of the poli­cy in rela­ti­on to the con­trac­tu­al arran­ge­ments on the use of ICT ser­vi­ces sup­por­ting cri­ti­cal or impor­tant func­ti­ons pro­vi­ded by ICT third-par­ty ser­vi­ce pro­vi­ders as man­da­ted by Regu­la­ti­on (EU) 2022/2554, JC 2023 84, 17 Janu­a­ry 2024

[8] Arti­kel 8 DORA en Ver­or­de­ning 575/2013

[9] Arti­kel 29(1) DORA

[10] Arti­kel 6(10) DORA

[11] Arti­kel 19(5) DORA

[12] Arti­kel 28(3) DORA