NGB Extra

 Cybersecurity in de financiële sector  

Hugo van Aardenne en Jouko Barensen, beide gespecialiseerd in cybersecuritywetgeving, het toezicht en de handhaving op het gebied van cybersecurity. Als ook in strafrechtelijke handhaving (milieustrafrecht en economisch strafrecht).

Er komt een imposante hoeveelheid cybersecuritywetten en -regels af op het Europese bedrijfsleven, en specifiek op de financiële sector. In deze bijdrage wordt de ‘Digital Operational Resilience Act (DORA)’ onder de loep genomen. Het definitieve voorstel voor deze verordening is op 10 november 2022 door het Europees Parlement aanvaard.[1]

De Europese Commissie wil met de DORA de operationele veerkracht van de financiële sector versterken. Want na de financiële crisis van 2008 is er op het gebied van EU-wetgeving voor de financiële sector vooral aandacht geweest voor financiële veerkracht, en slechts indirect voor de digitale/ICT-risico’s volgens de Europese Commissie.

En omdat digitalisering zowel kansen als risico’s met zich meebrengt, is er aandacht nodig voor de operationele veerkracht in de financiële sector. Volgens het voorstel zijn digitalisering en operationele veerkracht twee kanten van dezelfde medaille. Maar juist aan die operationele veerkracht ontbreekt dus nog het nodige op het gebied van Europese wetgeving.

De maatregelen die er nu zijn gaan slechts in beperkte mate in op ICT-risico’s, en bovendien verschillen deze maatregelen in de sectorale wetgeving voor financiële diensten. Dit heeft ertoe geleid dat de maatregelen die er op het niveau van de lidstaten zijn, slechts in beperkte mate effect hebben door het grensoverschrijdende karakter van ICT-risico’s. En, tot slot volgens het voorstel, ontbrak het de financiële toezichthouders aan voldoende geschikte instrumenten om financiële instabiliteit te voorkomen als de ICT-risico’s zich ook echt zouden realiseren. Kortom, aanleiding genoeg voor een gedetailleerd en alomvattend kader voor digitale weerbaarheid van financiële entiteiten in de EU.

 Entiteiten

De DORA is van toepassing op maar liefst 21 soorten entiteiten in de financiële sector, van kredietinstellingen tot betalingsinstellingen of beleggingsondernemingen. Maar ook aanbieders van cryptoactivadiensten, beheermaatschappijen en verzekerings- en herverzekeringsondernemingen of instellingen voor bedrijfspensioenvoorziening vallen onder de DORA, en nog veel meer.

 Risicobeheer

De regels die hierop van toepassing zijn, staan hoofdzakelijk in de Algemene verordening gegevens- bescherming (AVG) en de Telecommunicatiewet. In de praktijk staat de AVG (zeker sinds 2018) op het netvlies; de Telecommuni- catiewet soms minder, maar deze is niet minder belangrijk. Naleving hiervan wordt gehandhaafd, met het risico van oplegging van boetes

door de Autoriteit Persoonsgegevens (AP) resp. de Autoriteit Consument en Markt (ACM). Daarnaast zijn claims van ontvangers denkbaar. Te meer reden om aandacht te besteden aan dit onderwerp

 AVG

Bij het verzenden van nieuwsbrieven worden tot een individu herleidbare gegevens (‘persoonsgegevens‘) verwerkt. Er wordt een e-mailadres opgeslagen ten behoeve van de verzending, vaak wordt ook een naam verwerkt en soms worden ook voorkeuren van de ontvanger opgeslagen, zodat de toegezonden nieuwsbrieven daarop kunnen worden afgestemd. Wanneer persoonsgegevens worden verwerkt, dan is de AVG van toepassing.

Voor de verwerking van persoonsgegevens is een wettelijke grondslag vereist. De grondslagen waarop een verwerking kan worden gebaseerd zijn vastgelegd in artikel 6 AVG. Voor het verzenden van een nieuwsbrief staat over het algemeen een beroep open op het gerechtvaardigde belang bij de verwerking dat de verzender heeft (het aanprijzen van diens producten of diensten) of de toestemming die de ontvanger heeft gegeven voor de verwerking. Wanneer de verwerking wordt gebaseerd op een gerechtvaardigd belang, moet het belang van de verzender worden afgewogen tegen het belang van de betrokkenen. Let wel, de AP is van mening dat bij een verwerking voor commerciële doeleinden geen sprake kan zijn van ‘gerechtvaardigd belang’. In binnen- en buitenland wordt hierover anders gedacht en recent heeft de Rechtbank Midden-Nederland daarover anders geoordeeld.[1] De AP houdt echter voet bij stuk, in de praktijk zal dit per geval moeten worden beoordeeld.

De DORA is een lex specialis ten opzichte van de NIS2. De NIS2 is de richtlijn voor cyberbeveiliging van de vitale sectoren. Onder de NIS2 vallen ook het bankwezen en de infrastructuur voor de financiële markt. En in de overlap tussen de NIS2 en de DORA geldt dus een ‘lex generalis’ en ‘lex specialis’ verhouding. Dit heeft tot gevolg dat de DORA nog veel gedetailleerdere regels voorschrijft dan de NIS2.

De DORA beschrijft dus tot in detail aan welke onderdelen financiële entiteiten moeten voldoen op het gebied van risicobeheer.

Governance

Het leidinggevend orgaan van de financiële entiteit moet voldoen aan governance verplichtingen. Dit betekent onder andere dat het verantwoordelijk is voor het vaststellen van taken en bevoegdheden van álle ICT-gerelateerde functies. Maar daarnaast ook bijvoorbeeld voor het bepalen van het passende risicotolerantieniveau van de financiële entiteit, of het goedkeuren en de periodieke evaluatie van ICT-audits. Dit zijn slechts enkele voorbeelden van de governance verplichtingen waarvoor het leidinggevend orgaan van de financiële entiteit de eindverantwoordelijke is.

Kader

Een andere verplichting op het gebied van risicobeheer is de verplichting voor financiële entiteiten om te beschikken over een kader voor ICT-risicobeheer. Hierbij worden strategieën, beleidslijnen, ICT-protocollen en instrumenten verwacht om bescherming tegen risico’s te waarborgen. Hierbij wordt ook verwacht dat deze maatregelen passen bij de risico’s en dat zij de volledige en geactualiseerde informatie over die risico’s ook verstrekken aan de bevoegde autoriteiten. Onder die strategieën wordt ook verwacht dat methoden worden beschreven voor het testen van de digitale operationele veerkracht, of het uitstippelen van een communicatiestrategie bij ICT-gerelateerde incidenten. Dit zijn slechts enkele praktische voorbeelden van de verplichtingen waaraan het kader voor risicobeheer moet voldoen.

Identificatie

Op eenzelfde manier worden ook getailleerde verplichtingen voorgeschreven op het gebied van identificatie van bedrijfsfuncties, interne en externe ICT-systemen of bijvoorbeeld bronnen van ICT-risico’s.

Prevent, detect & response

Voorkomen is beter dan genezen. Dat principe geldt ook voor de risico’s op het gebied van cybersecurity volgens de DORA. De DORA schrijft in dat kader regels voor die het verwezenlijken van ICT-risico’s moeten voorkomen. Dat betekent ook dat zwakke punten moeten worden opgespoord. En ook de manier waarop die detectie moet plaatsvinden, wordt weer specifiek voorgeschreven.

Maar dan nog kan het natuurlijk misgaan, en dan is bedrijfscontinuïteit hét onderwerp. Het is dan zaak om schade te beperken en volgens een ICT-noodherstelplan zo goed mogelijk de operationele functies van de financiële entiteit te hervatten. De DORA schrijft ook in dat verband specifieke regels voor. Er wordt voorgeschreven waaraan regelingen, plannen en procedures moeten voldoen op het gebied van bedrijfscontinuïteit bij een incident. En daarop voortbordurend wordt ook aangeven dat bijvoorbeeld back-up beleid en herstelmethoden worden beschreven in het eerder genoemde ICT-risicobeheerkader.

Scholing, communicatie en normalisatie

Onderdeel van het totale risicobeheer is scholing voor het personeel. Dit zijn opleidingen op het gebied van digitale operationele veerkracht als verplicht onderdeel voor alle werknemers én het hoger leidinggevend personeel. Maar het blijft niet bij ‘alleen’ scholing. Er wordt van de financiële entiteiten ook verlangd dat er wordt geleerd, en ontwikkeling plaatsvindt naar aanleiding van incidenten. En ook hierover worden weer regels voorgeschreven.

Als er een incident is, blijkt vaak ineens hoeveel verschillende belanghebbenden er zijn. Van externe belanghebbenden tot personeel dat direct of indirect betrokken is bij het incident: er zal moeten worden gecommuniceerd. Alleen de vraag zal zijn: met wie en waarover? Welke belangen en wettelijke verplichtingen zijn er in dat kader allemaal?

De DORA beschrijft ook het belang van communicatie als belangrijk onderdeel van het totale risicobeheerskader. Van financiële entiteiten wordt daarmee verlangd dat zij communicatieplannen opstellen over hoe op een verantwoorde wijze met het publiek wordt gecommuniceerd over incidenten of ernstige kwetsbaarheden.

De Europese Toezichthoudende Autoriteiten (ETA’s) zullen samen met het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) technische reguleringsnormen ontwerpen. Van financiële entiteiten wordt verlangd dat zij die technische reguleringsnormen zullen toepassen bij het beschermen, voorkomen en detecteren van ICT-risico’s.

ICT-incidenten & rapportage

Naast het inkaderen en omgaan met risico’s en gerealiseerde risico’s, besteedt de DORA ook nog apart aandacht aan verplichtingen over de omgang met en het rapporteren van incidenten. Dat betekent dat financiële entiteiten verplicht worden om beheersprocessen vast te stellen en ICT-gerelateerde incidenten te classificeren. Hierbij worden de in de DORA genoemde verplichtingen verder ingevuld door technische reguleringsnormen die moeten worden vastgesteld door de Europese toezichthoudende autoriteiten.

Aanvankelijk stonden er termijnen in de DORA waarbinnen meldingen moesten worden gedaan. Het gaat dan om de eerste kennisgeving van een incident, een tussentijdsverslag en het eindverslag. Bij de laatste versie van 10 november 2022 zijn die termijnen weer uit de verordening geschrapt, en wordt aan de ETA’s overgelaten om bij het bepalen van de technische reguleringsnormen ook de termijnen voor die meldingen te bepalen. Daarnaast is de mogelijkheid toegevoegd om een vrijwillige melding te doen van significante cyberdreigingen.

Daarnaast beoogt de DORA ook om de inhoud en modellen van rapportage te harmoniseren, en meldingen te centraliseren. Ook wordt van toezichthouders verwacht dat zij na een melding feedback of richtsnoeren geven, al lijkt die verplichting vrijblijvender geformuleerd dan voor de financiële entiteiten. Toezichthouders moeten namelijk ‘zo spoedig mogelijk’ met de feedback of richtsnoeren komen.

Testen operationele veerkracht

Naast het risicobeheer en de verplichtingen rondom de rapportage van incidenten zijn er uitgebreide verplichtingen over het testen van de operationele veerkracht. Het testen van de digitale operationele veerkracht moet de financiële entiteit in staat stellen om informatie te verzamelen om ook daadwerkelijk een alomvattend kader voor risicobeheer op te stellen.

Overigens is in de laatste publieke versie van de DORA een uitzondering opgenomen voor bepaalde typen financiële entiteiten. Maar als een financiële entiteit niet onder die uitzondering valt, moeten ook penetratietesten worden gedaan die aan bepaalde voorwaarden moeten voldoen, en waarvan de penetratietesters[2] zelf ook aan bepaalde criteria moeten voldoen.

Beheer ICT-risico van de derde aanbieder

Financiële entiteiten zijn vaker wel dan niet afhankelijk van ‘derde aanbieders’ van ICT-diensten. En daarmee is er ook een belang op grond van de DORA om de risico’s die daarmee gepaard gaan te beheren. Bij deze categorie van derde aanbieders van ICT-diensten gaat het om ondernemingen die digitale en datadiensten aanbieden, met inbegrip van aanbieders van cloudcomputingdiensten, software, gegevensanalysediensten en datacentra.

Bij het beheren van het ICT-risico van derde aanbieders moeten de financiële entiteiten algemene beginselen toepassen. Een voorbeeld daarvan is dat volgens de DORA financiële entiteiten te allen tijde volledig verantwoordelijk blijven voor de naleving en verantwoording van alle verplichtingen op grond van deze verordening en toepasselijke wetgeving voor financiële diensten.

En dat begint eigenlijk bij het aangaan van ‘contractuele overeenkomsten’ zoals die in de verordening worden genoemd. Dus daarom gaan de algemene beginselen ook in op verplichtingen voorafgaand aan het sluiten van ‘contractuele overeenkomsten’. En zo wordt bij financiële entiteiten de verplichting opgelegd om alleen contractuele overeenkomsten aan te gaan met derde aanbieders van ICT-diensten die voldoen aan strenge, passende en de meeste recente normen op het gebied van informatiebeveiliging.

Daarnaast gaan de algemene beginselen ook specifiek in op de verplichtingen die gelden tijdens de contractuele overeenkomsten én de omstandigheden waaronder afscheid genomen moet kunnen worden van de ICT-dienstverlener. Zo moeten financiële entiteiten specifieke exitstrategieën gaan voeren die bijvoorbeeld mogelijk maken dat contractuele overeenkomsten beëindigd kunnen worden zonder verstoring van de bedrijfsactiviteit.

De DORA is een bijzondere ‘cyber-regelgeving’ omdat deze sectorspecifieke verordening op onderdelen behoorlijk gedetailleerd is. Want bovenop de algemene beginselen voor contractuele overeenkomsten wordt er nog aandacht besteed aan verplichtingen op het gebied van het concentratierisico, onderaanbesteding en andere belangrijke contractuele onderwerpen en bepalingen.

Informatie-uitwisseling

Met de DORA wordt ook voorzien in de mogelijkheid voor financiële entiteiten om met elkaar informatie uit te wisselen over cyberdreigingen, indicators of compromise, en over technieken en tactieken om cyberresilient te worden.

Toezicht en handhaving

Het toezicht op deze regelgeving is – afhankelijk van het type financiële entiteit – toebedeeld aan De Nederlandsche Bank (DNB), de Autoriteit Financiële Markt (AFM) of de Europese Centrale Bank (ECB).

Implementatie DORA en NIS2

De NIS2 schrijft cybersecurityregels voor die de vitale sectoren van de Europese samenleving beogen te beschermen. Delen van de financiële sector ook zijn aangewezen onder de NIS2; zoals hierboven al aan de orde kwam is de DORA een lex specialis is ten opzichte van de NIS-richtlijn.

Bij het schrijven van deze bijdrage is de NIS2-richtlijn zo goed als rond. Op 10 november 2022 zijn zowel de NIS2 als de DORA geaccepteerd door het Europees Parlement.[3] Naar verwachting zullen de definitieve NIS2-richtlijn én de DORA eind 2022 / begin 2023 worden gepubliceerd. Na de inwerkingtreding is er voor de DORA een implementatietermijn van 24 maanden en 21 maanden voor de NIS2.

Afronding

Een implementatietermijn van 24 en 21 maanden lijkt misschien ruim, maar er is behoorlijk veel informatie die in het kader van de DORA tegen het licht moet worden gehouden door financiële entiteiten. En dat geldt al voor entiteiten die al een heel eind op weg zijn met hun cyberresilience. Maar voor financiële entiteiten die minder ver zijn zal er nog heel veel te regelen zijn. Het nemen van maatregelen alleen is daarbij onvoldoende: het moet óók worden vastgelegd in beleid. Kortom, het is voor de financiële sector een heel korte termijn om compliant te worden.

[1]https://www.europarl.europa.eu/doceo/document/TA-9-2022-0381_EN.html

[2] Overigens wordt in de DORA-versie van 10 november 2022 de afkorting TLTP gebruikt. Dat betekent: threat led penetration testing’.

[3]https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.html

iNHOUDSOPGAVE