Vanaf 17 januari 2025 dienen financiële instellingen te voldoen aan de eisen van de Digital Operational Resilience Act (DORA). Gekeken naar de benodigde implementatiestappen, wordt al snel duidelijk dat dit bijna onmogelijk te realiseren is. In dit artikel legt Martin Ruf (Partner bij Zanders) uit dat de redenen hiervoor divers zijn.
Zo vertoont het implementatieschema enerzijds op zichzelf al een krappe planning door de late publicatie van de definitieve Regulatory Technical Standards en Implementing Technical Standards. Anderzijds zijn financiële instellingen (mede daardoor) erg laat begonnen met de implementatie van de DORA – een situatie waar toezichthouders van op de hoogte zijn.
Wat moet er nu gebeuren? Instellingen die verwachten vertragingen op te lopen, moeten een duidelijk implementatie-stappenplan opstellen met bijbehorende mijlpalen die ook echt gehaald kunnen worden. De oude regel ‘transparantie creëert acceptatie’ is hierbij van toepassing, al betekent dit niet dat potentiële auditbevindingen kunnen worden vermeden.
Aan de implementatiekant vormen IT-risico’s met derde partijen en bijbehorende contractuele aanpassingen een bijzondere uitdaging voor financiële instellingen. Met name omdat er vaak meer dan 1000 contracten per instelling zijn om rekening mee te houden.
Bovendien varieert de onderhandelingssituatie van de instellingen qua afhankelijkheid van de IT-dienstverlener. In het geval van zogenoemde ‘grote hyperscalers’ zal dit slechts zeer beperkt het geval zijn, wat betekent dat financiële instellingen afhankelijk zijn van de ondersteuning van toezichthouders.
Een andere uitdaging heeft betrekking op ICT risico management en de nieuwe gecreëerde ‘ICT risico controle functie’. Rekening houdend met de taken en verantwoordelijkheden die bij de functie horen, is er een fundamentele overlap met bestaande functies bij financiële dienstverleners.
Het is belangrijk om hier slim te werk te gaan en de taken dienovereenkomstig af te stemmen, zodat dubbel werk en dus inefficiënties vermeden kunnen worden. De typische reflex om gewoon een nieuwe eenheid op te richten zou hier moeten plaatsvinden zonder eerst de activiteiten grondig te analyseren.
Een artikel van Martin Ruf, Partner bij Zanders.