TAFELGESPREK
Waarom DORA: “Een hack in de financiële wereld zou volledig onze economie ontwrichten”
Sinds 16 januari 2023 is de Digital Operational Resilience Act (DORA) van kracht. DORA is een Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Vanaf 17 januari 2025 zal DORA van toepassing zijn.
Na de publicatie van de DORA-verordening heeft CACEIS een eerste gap-analyse uitgevoerd ten opzichte van de DORA-vereisten en een project opgezet om de organisatie in lijn te brengen met DORA. Dit om uiteindelijk tegen januari 2025 aan alle noodzakelijke kaders te voldoen. Op het gebied van operationele weerbaarheid zijn er al veel richtlijnen en interne procedures waar de financiële sector zich aan moet houden. DORA is niet nieuw maar wel strakker en meer gestructureerd in de richtlijn verankerd.
Vanuit CACEIS Nederland hebben twee leden van de interne DORA-werkgroep te weten Henk Brink, Senior Market Intelligence Officer en Raymond Boddenberg, Legal Counsel, de missie om de in- en externe verplichtingen van DORA in kaart te brengen. Welke mogelijkheden en uitdagingen zien zij? En wat merkt de CACEIS-klant van DORA? Een tweegesprek.
DEELNEMERS:
Henk Brink, Senior Market Intelligence Officer (rechts op foto)
Raymond Boddenberg, Legal Counsel (links op foto)
Wanneer is project DORA bij CACEIS NL opgetuigd?
Henk: DORA was vanzelfsprekend niet nieuw voor ons; de insteek van DORA is wettelijke verplichtingen. Toen de eerste aanzetten vanuit ESMA werden gemaakt, wisten we waar veel focus op zou worden gelegd. Voor ons – en voor de sector –had de aandacht voor cyber security en het ICT risk management framework, voor incidentenrapportages en voor business continuity-testen altijd al hoge prioriteit. DORA heeft dit wat compacter gemaakt en strenger neergezet door de ‘regulatory technical specs.’ Maar met name door de reikwijdte van DORA en de partijen die daaronder vallen, is een breder toezichthoudend kader neergezet. En dat is alleen maar goed.
Raymond: Vanzelfsprekend is hier zowel vanuit CACEIS Groep (als onderdeel van Crédit Agricole) als de Nederlandse branche op geacteerd door de inzet van een kernwerkgroep. Deze bestaat uit de verantwoordelijken voor compliance, risk, legal en IT. Wij monitoren kritische IT-applicaties op Nederlands niveau terwijl de Groep kijkt naar systemen die centraal draaien voor 18 landen. Henk en ik zijn leden van die Nederlandse kernwerkgroep onder leiding van het hoofd Finance, Risk Management, Compliance & Legal Frank Lurling. Frank is tevens lid van het Executive Committee CACEIS NL zodat de aandacht op dit niveau goed verankerd is.
Om te beginnen: waarom was de sector toe aan DORA?
Henk: ‘Al langere tijd – sinds 2017/2018 – kwamen de discussies op gang over de nieuwe technologie. Alles wat met digitalisering, tokenization, block chain en artificial intelligence te maken heeft, is de laatste vijf jaar sterk in opkomst. In externe gremia (we zijn al sinds de oprichting lid van de Dutch Advisory Committee on Securities Industry, de DACSI, waarvan 11 jaar voorzitter) werden deze onderwerpen gevolgd met name vanwege de impact op de post trade-dienstverlening. De Europese Commissie heeft zich gerealiseerd dat de digitalisering zo’n enorme vlucht neemt, terwijl het toezicht erop gefragmenteerd en weinig gestandaardiseerd is. Bovendien vond de Commissie dat de reikwijdte van de instellingen die zich aan DORA moesten committeren veel breder moest worden. Zo zijn veel van onze klanten nu onderhevig aan de DORA-verplichtingen maar ook clearing-instellingen (CCP’s) en centrale bewaarinstellingen (CSD’s). Bovendien zijn de zogenaamde “third party providers” nu ook uitdrukkelijk in scope.
Raymond: Waarom doen we dit eigenlijk? Denk aan de impact van een majeure verstoring. Een hack in de financiële wereld waarbij alle persoons- en of transactiegegevens op straat komen te liggen, het mogelijk wegsluizen van financiële waarden….Het zou volledig onze economie ontwrichten. Je ziet dat de financiële sector veiliger wordt omdat bedrijven zelf meer over hun bescherming nadenken, maar de regelgever wil er toch meer grip op krijgen door standaarden op te leggen en de reikwijdte van de operationele weerbaarheidsverplichtingen behoorlijk op te rekken.
Hoe wordt bij CACEIS DORA geïmplementeerd?
Henk: Crédit Agricole en daarmee CACEIS, heeft indertijd de vijf pijlers van DORA in kaart gebracht en daarop een gap-analyse uitgevoerd om eventuele tekortkomingen ten opzichte van de DORA-basislijn te identificeren en te verhelpen. Deze vijf pijlers zijn: ICT risk management, het rapporteren van ICT-incidenten, het testen van digitale operationele veerkracht, het delen van informatie en inlichtingen en het beheer van ICT-risico’s van derden.
Raymond: We onderzoeken hoe we op elke pilaar ‘scoren’ om DORA-compliant te zijn. Hiervoor moet je op een schaal van een tot vijf overal minimaal een vier scoren. Op een aantal zitten we bijna op een vier, op een paar – blijkt uit de gap-analyse – zitten we daar nog iets onder. Overigens weten we dat we daarmee zeker niet uit de pas lopen ten opzichte van onze peers.
Hoe is de samenwerking met andere partijen wat betreft de informatie-uitwisseling van cyber-dreigingen en kwetsbaarheden? Hebben jullie een praktijkvoorbeeld?
Henk: Een terechte vraag. In NVB-verband wordt nagedacht hoe we in Nederland een uitwisselingsplatform kunnen optuigen tussen verschillende partijen. Maar we hebben nog niet gezien dat dit er wat betreft de uitwisseling van IT-gerelateerde dreigingen in Nederland van gekomen is. Wellicht vindt het wel plaats op interbancair niveau maar nog niet op een gestructureerde manier. Een onderwerp dat we uiteraard blijven volgen.
Raymond: CACEIS hanteert risk management-procedures die zich concreet laten vertalen naar: 1) definiëren van risico’s, 2) definiëren van maatregelen, 3) monitoren van de uitvoering van maatregelen en 4) het vaststellen van verbeteracties en de monitoring hiervan. Ook vindt er een periodieke review plaats door middel van verplichte ‘risk self assessments’ waarbij op basis van alle beschikbare bronnen (incidenten- en klachtenregistratie, monitoring- en audit-rapporten) en veranderingen in de omgeving, vastgesteld wordt of het onderzochte proces voldoende in control is of juist verbetering behoeft.
Het is natuurlijk zo dat als er een hack plaatsvindt op een grote bank en dit – vrijwillig – gedeeld wordt, andere spelers in de financiële wereld weten dat er eventueel iets kan komen. Dat delen en elkaar waarschuwen gebeurt nu ook in het interbancaire overleg, maar DORA beoogt daar veel meer lijn in te brengen met een gestandaardiseerde opzet.
Henk: Nieuwe wet- en regelgeving zoals DORA is niet alleen een soort corvee. We moeten het ook aangrijpen om nog eens heel goed naar de kritieke ICT-processen te kijken en te verbeteren waar nodig. Het helpt ons allemaal om de wereld een stukje veiliger te maken. En dat geldt natuurlijk voor de hele industrie.
DORA gaat ook over de inhuur van ICT-dienstverleners. Welke extra checks worden gedaan voor een partij wordt ingehuurd?
Raymond: Allereerst kijken we naar onze interne medewerkers. Daar waar voorheen ICT-en cyber security-gerelateerde trainingen vanuit Crédit Agricole eens per drie jaar verplicht waren, is dat nu standaard op jaarlijkse basis. En dan gaat het om trainingen voor iedereen die binnen Crédit Agricole – en dus CACEIS – werkt.
Vanuit de Groep zal nog aangescherpt beleid worden ontwikkeld hoe we met de inhuur van leveranciers zullen omgaan. Procurement heeft nu natuurlijk al een set aan spelregels maar de DORA- vereisten zijn nog scherper. Wat je overigens ook ziet is de vereiste dat bedrijven die niet in de Europese Unie zijn ingeschreven, hier een dochteronderneming moeten hebben. Dit neem je dan mee in je aangescherpte KYS (Know your supplier) op inkoop.
Wat merken jullie klanten van DORA?
Raymond: Allereerst vallen vrijwel al onze klanten onder DORA en zullen derhalve dus zelf ook aan die verplichtingen moeten voldoen. Ze zullen zelf ook de vijf pilaren goed moeten inrichten en ze zullen met dezelfde governance te maken krijgen. Dat betekent bijvoorbeeld dat het senior management verantwoordelijk is voor het hele proces. Net als wij zullen alle partijen een transitie doormaken om aan DORA te voldoen. Je ziet natuurlijk ook al dat grote pensioenfondsen hun ICT-risicobeheer en incidentrapportages nauwlettend in het vizier hebben en bijsturen daar waar nodig.
Henk: Wat betreft onze samenwerking met onze klanten blijft de dienstverlening op een zo hoog mogelijk niveau. Alle verplichtingen die DORA ons allen stelt, noodzaken alleen maar om nog beter te testen op bedrijfskritische ICT-systemen en alert te zijn. De financiële industrie is de meest gereguleerde industrie ter wereld dus dat verandert door DORA voor ons op zich niet. Het zet de structuren alleen iets scherper neer. Vanuit compliance-oogpunt zullen er meer checks and balances gaan gelden tussen zowel klant en CACEIS als tussen ons en de ICT-suppliers .
