Beheer van ICT-risico van derde aanbieders

Artikel 28 en 29 van DORA beschrijven verschillende basisbeginselen voor het beheersen van thirdparty risk. Om in de hele keten weerbaar te zijn tegen cyberdreigingen en ICT-verstoringen, is het belangrijk om aandacht te besteden aan de risico’s van het afnemen van ICT-diensten van derde aanbieders.

Deze artikelen gaan in op de maatregelen die een onderneming zou moeten treffen voorafgaand aan het sluiten van een overeenkomst met een derde aanbieder. Hierbij gelden dezelfde eisen voor externe overeenkomsten als voor overeenkomsten binnen dezelfde groep (intragroup agreements).

Strategie

Om te beginnen moeten ondernemingen expliciet aandacht besteden aan de ICT-risico’s die voortkomen uit het gebruiken van diensten van derde aanbieders. Deze risicoanalyse staat niet op zichzelf, maar moet onderdeel zijn van het organisatiebrede kader voor ICT-risicobeheer.

Daarnaast verwacht DORA dat ondernemingen een strategie ontwikkelen voor het beheersen van third party risks, waarbij de risico’s van het uitbesteden van kritieke diensten regelmatig worden herzien. Micro-ondernemingen zijn uitgezonderd van de verplichting om deze strategie te ontwikkelen.

Register

Alle contractuele overeenkomsten voor het leveren van ICT-diensten moeten worden vastgelegd in een register. Ondernemingen moeten daarin opnemen of de afgenomen diensten kritieke of belangrijke activiteiten ondersteunen. Toezichthouders kunnen dit register opvragen. Het register is van belang voor de interne beheersing van een instelling, maar zal ook door de ESA’s worden gebruikt om kritieke dienstverleners (ofwel CTPP’s: Critical Third Party service Provider) van de Europese Unie aan te wijzen.

Rapportage

Daarnaast vereist DORA dat ondernemingen jaarlijks aan de toezichthouder rapporteren welke third party ICT-overeenkomsten dat jaar zijn afgesloten. Overeenkomsten met betrekking tot kritieke of belangrijke functies moeten ook tussendoor actief gemeld worden bij de toezichthouder.

Analyse

Voorafgaand aan het afsluiten van overeenkomsten met derde aanbieders moeten verschillende aspecten worden geanalyseerd, zoals het benodigde ICT-beveiligingsniveau en de gewenste frequentie en scope van audits en inspecties. Het is ook belangrijk om rekening te houden met eventuele concentratierisico’s.

Verdere onderuitbesteding door de dienstverlener kan hier ook invloed op hebben. Ondernemingen moeten daarnaast ook over een exit-strategie beschikken wanneer derde aanbieders kritieke of belangrijke functies ondersteunen. Daarbij moet rekening worden gehouden met risico’s die zich bij de dienstverlener voor kunnen doen, zoals een verstoring van de levering, verslechtering van de kwaliteit of de (voortijdige) beëindiging van de overeenkomst

De ESA’s hebben een standaardmodel voor het register van contractuele overeenkomsten ontwikkeld. Ook zijn de uitgangspunten voor third party risk management verder uitgewerkt in een RTS. Het standaardmodel en de uitgangspunten zijn inmiddels voorgelegd aan de Europese Commissie.

In artikel 30 van DORA zijn verschillende bepalingen opgenomen die ondernemingen op moeten nemen in contractuele overeenkomsten met derde aanbieders. Hierbij wordt onderscheid gemaakt tussen onderdelen die in alle overeenkomsten moeten worden opgenomen, en aanvullende verplichtingen voor overeenkomsten die kritieke of belangrijke functies ondersteunen.

Voorbeelden van onderdelen die altijd in overeenkomsten moeten worden opgenomen zijn:

• De rechten en plichten van beide partijen;
• Een volledige beschrijving van geleverde diensten;
• De regio’s en/of landen waaraan de diensten moeten worden geleverd en gegevens moeten worden verwerkt;
• Het te leveren dienstenniveau;
• De mate van gegevensbescherming, in termen van beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit;
• De bijstand bij incidenten;
• De beëindigingsrechten en bijbehorende opzegtermijnen. Daarnaast moet bij het uitbesteden van diensten die kritieke of belangrijke functies ondersteunen, aanvullend bijvoorbeeld het volgende worden vastgelegd;
• De rapportageverplichting van de dienstverlener;
• De verplichting voor de dienstverlener om bedrijfsnoodplannen te ontwikkelen en te testen;
• De verplichting om mee te werken aan eventuele Thread Lead Penetration Tests (TLPT’s) van de financiële instelling;
• Het recht van inspectie en audit door de financiële entiteit of een daartoe aangestelde derde partij;
• Ook worden aanvullende en verdiepende eisen gesteld aan de bepalingen die voor alle uitbestedingen moeten gelden, zoals het uitwerken van de geleverde diensten door middel van nauwkeurige prestatiedoelstellingen.

Micro-ondernemingen kunnen met de dienstverlener overeenkomen dat audits en inspecties worden uitgevoerd door een door de dienstverlener aangewezen onafhankelijke partij, in plaats van dat micro-ondernemingen deze zelf uitvoeren Hierbij moeten micro-ondernemingen wel altijd de benodigde informatie kunnen opvragen bij deze partij.