Cybersecurity in de financiële sector

Met het oog op NGB Extra

Er komt een imposante hoeveelheid cybersecuritywetten en -regels af op het Europese bedrijfsleven, en specifiek op de financiële sector. In deze bijdrage wordt de ‘Digital Operational Resilience Act (DORA)’ onder de loep genomen. Het definitieve voorstel voor deze verordening is op 10 november 2022 door het Europees Parlement aanvaard.[2]

Entiteiten

De DORA is van toepassing op maar liefst 21 soorten entiteiten in de financiële sector, van kredietinstellingen tot betalingsinstellingen of beleggingsondernemingen. Maar ook aanbieders van cryptoactivadiensten, beheermaatschappijen en verzekerings- en herverzekeringsondernemingen of instellingen voor bedrijfspensioenvoorziening vallen onder de DORA, en nog veel meer.

Risicobeheer

De DORA is een lex specialis ten opzichte van de NIS2. De NIS2 is de richtlijn voor cyberbeveiliging van de vitale sectoren. Onder de NIS2 vallen ook het bankwezen en de infrastructuur voor de financiële markt. En in de overlap tussen de NIS2 en de DORA geldt dus een ‘lex generalis’ en ‘lex specialis’ verhouding. Dit heeft tot gevolg dat de DORA nog veel gedetailleerdere regels voorschrijft dan de NIS2.

De DORA beschrijft dus tot in detail aan welke onderdelen financiële entiteiten moeten voldoen op het gebied van risicobeheer.

Governance

Het leidinggevend orgaan van de financiële entiteit moet voldoen aan governance verplichtingen. Dit betekent onder andere dat het verantwoordelijk is voor het vaststellen van taken en bevoegdheden van álle ICT-gerelateerde functies. Maar daarnaast ook bijvoorbeeld voor het bepalen van het passende risicotolerantieniveau van de financiële entiteit, of het goedkeuren en de periodieke evaluatie van ICT-audits. Dit zijn slechts enkele voorbeelden van de governance verplichtingen waarvoor het leidinggevend orgaan van de financiële entiteit de eindverantwoordelijke is.

Kader

Een andere verplichting op het gebied van risicobeheer is de verplichting voor financiële entiteiten om te beschikken over een kader voor ICT-risicobeheer. Hierbij worden strategieën, beleidslijnen, ICT-protocollen en instrumenten verwacht om bescherming tegen risico’s te waarborgen. Hierbij wordt ook verwacht dat deze maatregelen passen bij de risico’s en dat zij de volledige en geactualiseerde informatie over die risico’s ook verstrekken aan de bevoegde autoriteiten. Onder die strategieën wordt ook verwacht dat methoden worden beschreven voor het testen van de digitale operationele veerkracht, of het uitstippelen van een communicatiestrategie bij ICT-gerelateerde incidenten. Dit zijn slechts enkele praktische voorbeelden van de verplichtingen waaraan het kader voor risicobeheer moet voldoen.

Identificatie

Op eenzelfde manier worden ook getailleerde verplichtingen voorgeschreven op het gebied van identificatie van bedrijfsfuncties, interne en externe ICT-systemen of bijvoorbeeld bronnen van ICT-risico’s.

Prevent, detect & response

Voorkomen is beter dan genezen. Dat principe geldt ook voor de risico’s op het gebied van cybersecurity volgens de DORA. De DORA schrijft in dat kader regels voor die het verwezenlijken van ICT-risico’s moeten voorkomen. Dat betekent ook dat zwakke punten moeten worden opgespoord. En ook de manier waarop die detectie moet plaatsvinden, wordt weer specifiek voorgeschreven.

Maar dan nog kan het natuurlijk misgaan, en dan is bedrijfscontinuïteit hét onderwerp. Het is dan zaak om schade te beperken en volgens een ICT-noodherstelplan zo goed mogelijk de operationele functies van de financiële entiteit te hervatten. De DORA schrijft ook in dat verband specifieke regels voor. Er wordt voorgeschreven waaraan regelingen, plannen en procedures moeten voldoen op het gebied van bedrijfscontinuïteit bij een incident.

En daarop voortbordurend wordt ook aangeven dat bijvoorbeeld back-up beleid en herstelmethoden worden beschreven in het eerder genoemde ICT-risicobeheerkader.

Scholing, communicatie en normalisatie

Onderdeel van het totale risicobeheer is scholing voor het personeel. Dit zijn opleidingen op het gebied van digitale operationele veerkracht als verplicht onderdeel voor alle werknemers én het hoger leidinggevend personeel. Maar het blijft niet bij ‘alleen’ scholing. Er wordt van de financiële entiteiten ook verlangd dat er wordt geleerd, en ontwikkeling plaatsvindt naar aanleiding van incidenten. En ook hierover worden weer regels voorgeschreven.

Als er een incident is, blijkt vaak ineens hoeveel verschillende belanghebbenden er zijn. Van externe belanghebbenden tot personeel dat direct of indirect betrokken is bij het incident: er zal moeten worden gecommuniceerd. Alleen de vraag zal zijn: met wie en waarover? Welke belangen en wettelijke verplichtingen zijn er in dat kader allemaal?

De DORA beschrijft ook het belang van communicatie als belangrijk onderdeel van het totale risicobeheerskader. Van financiële entiteiten wordt daarmee verlangd dat zij communicatieplannen opstellen over hoe op een verantwoorde wijze met het publiek wordt gecommuniceerd over incidenten of ernstige kwetsbaarheden.

De Europese Toezichthoudende Autoriteiten (ETA’s) zullen samen met het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) technische reguleringsnormen ontwerpen. Van financiële entiteiten wordt verlangd dat zij die technische reguleringsnormen zullen toepassen bij het beschermen, voorkomen en detecteren van ICT-risico’s.

ICT-incidenten & rapportage

Naast het inkaderen en omgaan met risico’s en gerealiseerde risico’s, besteedt de DORA ook nog apart aandacht aan verplichtingen over de omgang met en het rapporteren van incidenten. Dat betekent dat financiële entiteiten verplicht worden om beheersprocessen vast te stellen en ICT-gerelateerde incidenten te classificeren. Hierbij worden de in de DORA genoemde verplichtingen verder ingevuld door technische reguleringsnormen die moeten worden vastgesteld door de Europese toezichthoudende autoriteiten.

Aanvankelijk stonden er termijnen in de DORA waarbinnen meldingen moesten worden gedaan. Het gaat dan om de eerste kennisgeving van een incident, een tussentijdsverslag en het eindverslag. Bij de laatste versie van 10 november 2022 zijn die termijnen weer uit de verordening geschrapt, en wordt aan de ETA’s overgelaten om bij het bepalen van de technische reguleringsnormen ook de termijnen voor die meldingen te bepalen. Daarnaast is de mogelijkheid toegevoegd om een vrijwillige melding te doen van significante cyberdreigingen.

Daarnaast beoogt de DORA ook om de inhoud en modellen van rapportage te harmoniseren, en meldingen te centraliseren. Ook wordt van toezichthouders verwacht dat zij na een melding feedback of richtsnoeren geven, al lijkt die verplichting vrijblijvender geformuleerd dan voor de financiële entiteiten. Toezichthouders moeten namelijk ‘zo spoedig mogelijk’ met de feedback of richtsnoeren komen.

Testen operationele veerkracht

Naast het risicobeheer en de verplichtingen rondom de rapportage van incidenten zijn er uitgebreide verplichtingen over het testen van de operationele veerkracht. Het testen van de digitale operationele veerkracht moet de financiële entiteit in staat stellen om informatie te verzamelen om ook daadwerkelijk een alomvattend kader voor risicobeheer op te stellen.

Overigens is in de laatste publieke versie van de DORA een uitzondering opgenomen voor bepaalde typen financiële entiteiten. Maar als een financiële entiteit niet onder die uitzondering valt, moeten ook penetratietesten worden gedaan die aan bepaalde voorwaarden moeten voldoen, en waarvan de penetratietesters[1] zelf ook aan bepaalde criteria moeten voldoen.

Beheer ICT-risico van de derde aanbieder

Financiële entiteiten zijn vaker wel dan niet afhankelijk van ‘derde aanbieders’ van ICT-diensten. En daarmee is er ook een belang op grond van de DORA om de risico’s die daarmee gepaard gaan te beheren. Bij deze categorie van derde aanbieders van ICT-diensten gaat het om ondernemingen die digitale en datadiensten aanbieden, met inbegrip van aanbieders van cloudcomputingdiensten, software, gegevensanalysediensten en datacentra.

Bij het beheren van het ICT-risico van derde aanbieders moeten de financiële entiteiten algemene beginselen toepassen. Een voorbeeld daarvan is dat volgens de DORA financiële entiteiten te allen tijde volledig verantwoordelijk blijven voor de naleving en verantwoording van alle verplichtingen op grond van deze verordening en toepasselijke wetgeving voor financiële diensten.

En dat begint eigenlijk bij het aangaan van ‘contractuele overeenkomsten’ zoals die in de verordening worden genoemd. Dus daarom gaan de algemene beginselen ook in op verplichtingen voorafgaand aan het sluiten van ‘contractuele overeenkomsten’. En zo wordt bij financiële entiteiten de verplichting opgelegd om alleen contractuele overeenkomsten aan te gaan met derde aanbieders van ICT-diensten die voldoen aan strenge, passende en de meeste recente normen op het gebied van informatiebeveiliging.

Daarnaast gaan de algemene beginselen ook specifiek in op de verplichtingen die gelden tijdens de contractuele overeenkomsten én de omstandigheden waaronder afscheid genomen moet kunnen worden van de ICT-dienstverlener. Zo moeten financiële entiteiten specifieke exitstrategieën gaan voeren die bijvoorbeeld mogelijk maken dat contractuele overeenkomsten beëindigd kunnen worden zonder verstoring van de bedrijfsactiviteit.

De DORA is een bijzondere ‘cyber-regelgeving’ omdat deze sectorspecifieke verordening op onderdelen behoorlijk gedetailleerd is. Want bovenop de algemene beginselen voor contractuele overeenkomsten wordt er nog aandacht besteed aan verplichtingen op het gebied van het concentratierisico, onderaanbesteding en andere belangrijke contractuele onderwerpen en bepalingen.

Informatie-uitwisseling

Met de DORA wordt ook voorzien in de mogelijkheid voor financiële entiteiten om met elkaar informatie uit te wisselen over cyberdreigingen, indicators of compromise, en over technieken en tactieken om cyberresilient te worden.

Toezicht en handhaving

Het toezicht op deze regelgeving is – afhankelijk van het type financiële entiteit – toebedeeld aan De Nederlandsche Bank (DNB), de Autoriteit Financiële Markt (AFM) of de Europese Centrale Bank (ECB).

Implementatie DORA en NIS2

De NIS2 schrijft cybersecurityregels voor die de vitale sectoren van de Europese samenleving beogen te beschermen. Delen van de financiële sector ook zijn aangewezen onder de NIS2; zoals hierboven al aan de orde kwam is de DORA een lex specialis is ten opzichte van de NIS-richtlijn.

Bij het schrijven van deze bijdrage is de NIS2-richtlijn zo goed als rond. Op 10 november 2022 zijn zowel de NIS2 als de DORA geaccepteerd door het Europees Parlement.[2] Naar verwachting zullen de definitieve NIS2-richtlijn én de DORA eind 2022 / begin 2023 worden gepubliceerd. Na de inwerkingtreding is er voor de DORA een implementatietermijn van 24 maanden en 21 maanden voor de NIS2.

Afronding

Een implementatietermijn van 24 en 21 maanden lijkt misschien ruim, maar er is behoorlijk veel informatie die in het kader van de DORA tegen het licht moet worden gehouden door financiële entiteiten. En dat geldt al voor entiteiten die al een heel eind op weg zijn met hun cyberresilience. Maar voor financiële entiteiten die minder ver zijn zal er nog heel veel te regelen zijn. Het nemen van maatregelen alleen is daarbij onvoldoende: het moet óók worden vastgelegd in beleid. Kortom, het is voor de financiële sector een heel korte termijn om compliant te worden.

[1] Hugo van Aardenne en Jouko Barensen zijn beiden advocaten bij Ploum, gespecialiseerd in cybersecuritywetgeving en in het toezicht en de handhaving op het gebied van cybersecurity. Beiden zijn tevens gespecialiseerd in strafrechtelijke handhaving (milieustrafrecht en economisch strafrecht).

[2] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0381_EN.html

[3] Overigens wordt in de DORA-versie van 10 november 2022 de afkorting TLTP gebruikt. Dat betekent: threat led penetration testing’.

[4] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.html