Go to content

Beheer van ICT-risico van derde aanbieders

DORA besteedt veel aandacht aan third party risk om op deze wijze ketenrisico’s zo veel mogelijk te beperken. Van ondernemingen wordt vereist dat ze third party risk expliciet opnemen in het ICT risk management framework en een strategie ontwikkelen voor (IT-)uitbestedingen.

De vereisten voor het beperken van ketenrisco’s zijn terug te vinden in hoofdstuk V (artikel 28 t/m 44) van de verordening. Deze artikelen gaan onder meer in op de benodigde beleidsstukken, risicoanalyses en contractuele bepalingen. Daarnaast wordt ook het oversight-kader voor kritieke derde aanbieders van ICT-diensten omschreven

Uitbesteding

De verordening schrijft voor welke onderdelen belangrijk zijn om rekening mee te houden bij een uitbesteding. Zo moet een onderneming altijd wederzijds geaccordeerde afspraken met de dienstleverancier vastleggen over de service levels (bijv. in Service Level Agreements).

Voor kritieke uitbestedingen moet altijd een exit-strategie beschikbaar zijn. Daarnaast zijn er enkele vaste elementen die de onderneming op moet nemen in een overeenkomst. Een voorbeeld hiervan is de bevoegdheid om een inspectie of audit uit te voeren, zij het door de instelling, een daartoe aangestelde derde partij of de bevoegde toezichtautoriteit.

Ook moet een onderneming een register bijhouden van bestaande uitbestedingen, inclusief relevante kenmerken.

Basisbeginselen voor het beheren van ICT-risico van derde aanbieders

Artikel 28 en 29 van DORA beschrijven verschillende basisbeginselen voor het beheersen van thirdparty risk. Om in de hele keten weerbaar te zijn tegen cyberdreigingen en ICT-verstoringen, is het belangrijk om aandacht te besteden aan de risico’s van het afnemen van ICT-diensten van derde aanbieders.

Deze artikelen gaan in op de maatregelen die een onderneming zou moeten treffen voorafgaand aan het sluiten van een overeenkomst met een derde aanbieder. Hierbij gelden dezelfde eisen voor externe overeenkomsten als voor overeenkomsten binnen dezelfde groep (intragroup agreements).

Strategie

Om te beginnen moeten ondernemingen expliciet aandacht besteden aan de ICT-risico’s die voortkomen uit het gebruiken van diensten van derde aanbieders. Deze risicoanalyse staat niet op zichzelf, maar moet onderdeel zijn van het organisatiebrede kader voor ICT-risicobeheer.

Daarnaast verwacht DORA dat ondernemingen een strategie ontwikkelen voor het beheersen van third party risks, waarbij de risico’s van het uitbesteden van kritieke diensten regelmatig worden herzien. Micro-ondernemingen zijn uitgezonderd van de verplichting om deze strategie te ontwikkelen.

Register

Alle contractuele overeenkomsten voor het leveren van ICT-diensten moeten worden vastgelegd in een register. Ondernemingen moeten daarin opnemen of de afgenomen diensten kritieke of belangrijke activiteiten ondersteunen. Toezichthouders kunnen dit register opvragen. Het register is van belang voor de interne beheersing van een instelling, maar zal ook door de ESA’s worden gebruikt om kritieke dienstverleners (ofwel CTPP’s: Critical Third Party service Provider) van de Europese Unie aan te wijzen.

Rapportage

Daarnaast vereist DORA dat ondernemingen jaarlijks aan de toezichthouder rapporteren welke third party ICT-overeenkomsten dat jaar zijn afgesloten. Overeenkomsten met betrekking tot kritieke of belangrijke functies moeten ook tussendoor actief gemeld worden bij de toezichthouder.

Analyse

Voorafgaand aan het afsluiten van overeenkomsten met derde aanbieders moeten verschillende aspecten worden geanalyseerd, zoals het benodigde ICT-beveiligingsniveau en de gewenste frequentie en scope van audits en inspecties. Het is ook belangrijk om rekening te houden met eventuele concentratierisico’s.

Verdere onderuitbesteding door de dienstverlener kan hier ook invloed op hebben. Ondernemingen moeten daarnaast ook over een exit-strategie beschikken wanneer derde aanbieders kritieke of belangrijke functies ondersteunen. Daarbij moet rekening worden gehouden met risico’s die zich bij de dienstverlener voor kunnen doen, zoals een verstoring van de levering, verslechtering van de kwaliteit of de (voortijdige) beëindiging van de overeenkomst

De ESA’s hebben een standaardmodel voor het register van contractuele overeenkomsten ontwikkeld. Ook zijn de uitgangspunten voor third party risk management verder uitgewerkt in een RTS. Het standaardmodel en de uitgangspunten zijn inmiddels voorgelegd aan de Europese Commissie.

Basisbeginselen: belangrijke contractuele bepalingen

In artikel 30 van DORA zijn verschillende bepalingen opgenomen die ondernemingen op moeten nemen in contractuele overeenkomsten met derde aanbieders. Hierbij wordt onderscheid gemaakt tussen onderdelen die in alle overeenkomsten moeten worden opgenomen, en aanvullende verplichtingen voor overeenkomsten die kritieke of belangrijke functies ondersteunen.

Voorbeelden van onderdelen die altijd in overeenkomsten moeten worden opgenomen zijn:

• De rechten en plichten van beide partijen;
• Een volledige beschrijving van geleverde diensten;
• De regio’s en/of landen waaraan de diensten moeten worden geleverd en gegevens moeten worden verwerkt;
• Het te leveren dienstenniveau;
• De mate van gegevensbescherming, in termen van beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit;
• De bijstand bij incidenten;
• De beëindigingsrechten en bijbehorende opzegtermijnen. Daarnaast moet bij het uitbesteden van diensten die kritieke of belangrijke functies ondersteunen, aanvullend bijvoorbeeld het volgende worden vastgelegd;
• De rapportageverplichting van de dienstverlener;
• De verplichting voor de dienstverlener om bedrijfsnoodplannen te ontwikkelen en te testen;
• De verplichting om mee te werken aan eventuele Thread Lead Penetration Tests (TLPT’s) van de financiële instelling;
• Het recht van inspectie en audit door de financiële entiteit of een daartoe aangestelde derde partij;
• Ook worden aanvullende en verdiepende eisen gesteld aan de bepalingen die voor alle uitbestedingen moeten gelden, zoals het uitwerken van de geleverde diensten door middel van nauwkeurige prestatiedoelstellingen.

Micro-ondernemingen kunnen met de dienstverlener overeenkomen dat audits en inspecties worden uitgevoerd door een door de dienstverlener aangewezen onafhankelijke partij, in plaats van dat micro-ondernemingen deze zelf uitvoeren Hierbij moeten micro-ondernemingen wel altijd de benodigde informatie kunnen opvragen bij deze partij.

Kritieke derde aanbieders ook onder toezicht

Een groot deel van de ICT-diensten van de financiële sector wordt uitbesteed aan een beperkt aantal ICT-dienstverleners. Dit brengt concentratierisico’s met zich mee. DORA maakt het daarom mogelijk om toezicht te houden op deze dienstverleners. Ze zijn namelijk cruciaal zijn voor de stabiliteit van de Europese financiële sector.

Momenteel hebben deze artikelen nog geen directe invloed op financiële ondernemingen. Uiteindelijk zal dit toezicht ondernemingen meer zekerheid kunnen geven over de digitale weerbaarheid van uitbestedingspartners.

Artikel 31 t/m 44 beschrijven dit nieuwe mandaat in het zogeheten oversight-kader. De ESA’s selecteren welke dienstverleners onder dit kader zullen vallen. Dit zal waarschijnlijk in de loop van 2025 plaatsvinden.

De aanwijzing is onder meer gebaseerd op de systeeminvloed van de dienstverlener, en de mate van afhankelijkheid en substitueerbaarheid van deze dienst. Per dienstverlener zal een lead overseer worden aangewezen die verantwoordelijk is voor het toezicht.

Afhankelijk van de sector die het meest wordt bediend, is dit ESMA, EIOPA of EBA. Het uiteindelijke toezicht zal worden uitgevoerd door een team van Europese en nationale toezichthouders.