Digitale operationele weerbaarheid voor de financiële sector

SAMENVATTING VAN:

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector

WAT IS HET DOEL VAN DE VERORDENING?

Het legt uniforme regels vast voor de beveiliging van netwerk- en informatiesystemen van financiële entiteiten, zoals banken, verzekeringsmaatschappijen en beleggingsondernemingen.

De verordening is van toepassing op een groot aantal gereguleerde financiële entiteiten van de Europese Unie (EU) en vereist dat ze bestand zijn tegen, reageren op en herstellen van elke verstoring of bedreiging waarbij informatie- en communicatietechnologieën (ICT) betrokken zijn.

KERNPUNTEN

Toepassingsgebied

De verordening heeft betrekking op:

• krediet-, betalings-, elektronisch geld- en bedrijfspensioeninstellingen;
• aanbieders van rekeninginformatie-, cryptoactiva-, gegevensrapportage-, crowdfunding- en derde aanbieders van ICT-diensten;
• beleggingsondernemingen, alternatieve beleggingsfondsen, beheermaatschappijen, ratingbureaus en beheerders van kritieke benchmarks;
• bewaarplaatsen voor handels- en securitisatiegegevens, centrale effectenbewaarinstellingen, centrale tegenpartijen en handelsplatformen;
• verzekeringen, verzekeringstussenpersonen en herverzekeringen.

ICT-risicobeheer

Andere financiële entiteiten dan micro-ondernemingen:

• hebben interne bestuurs- en controlemaatregelen ingesteld die een effectief en verstandig beheer van ICT-risico’s garanderen;
• zorgen ervoor dat hun bestuursorgaan alle relevante regelingen definieert, goedkeurt, overziet en er verantwoordelijk voor is;
• beschikken over een degelijk, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer met de nodige strategieën, beleidsregels, procedures, protocollen en hulpmiddelen om snel en efficiënt te kunnen reageren;
• gebruiken en onderhouden bijgewerkte ICT-systemen, -protocollen en -hulpmiddelen die geschikt, betrouwbaar en technologisch weerbaar zijn en voldoende capaciteit hebben;
• identificeren, classificeren en documenteren alle ICT-ondersteunde bedrijfsfuncties, rollen en verantwoordelijkheden passend en beoordelen risicoscenario’s;
• houden voortdurend toezicht op de beveiliging en werking van ICT-systemen en -hulpmiddelen om de impact van ICT-risico’s tot een minimum te beperken;
• detecteren afwijkingen onmiddellijk en identificeren potentiële storingspunten;
• voeren een uitgebreid ICT-bedrijfscontinuïteitsbeleid in met passende plannen, procedures en mechanismen;
• ontwikkelen en documenteren back-upbeleid en herstel- en herstelprocedures;
• zetten middelen en personeel in om kwetsbaarheden en cyberbedreigingen, ICT-gerelateerde incidenten, met name cyberaanvallen, te beoordelen en hun potentiële impact op de digitale operationele weerbaarheid van de entiteit te analyseren;
• stellen crisiscommunicatieplannen op om ten minste grote ICT-gerelateerde incidenten of kwetsbaarheden bekend te maken aan klanten, tegenpartijen en het publiek.

ICT-gerelateerd beheer, classificatie en rapportage

Financiële entiteiten zullen:

• maatregelen definiëren, vaststellen en implementeren om ICT-gerelateerde incidenten op te sporen, te beheren, te registreren en te melden;
• incidenten classificeren en de impact ervan bepalen aan de hand van criteria zoals het aantal getroffen klanten en partners, de duur, de geografische spreiding en het gegevensverlies;
• grote ICT-gerelateerde incidenten rapporteren aan hun aangewezen bevoegde autoriteit, die dit doorstuurt naar een hogere instantie zoals de Europese Centrale Bank of de Europese Bankautoriteit.

Testen van digitale operationele weerbaarheid

Andere financiële entiteiten dan micro-ondernemingen:

• stellen een degelijk en uitgebreid digitaal operationeel testprogramma op en onderhouden en herzien dat, uitgerust met de nodige beoordelingen, tests, methodologieën, praktijken en hulpmiddelen;
• voeren ten minste elke drie jaar penetratietests op dreigingsniveau uit op basis van hun risicoprofiel en rekening houdend met de operationele omstandigheden — en gebruiken alleen testers die gecertificeerd zijn, over de nodige expertise en geschiktheid beschikken en een beroepsaansprakelijkheidsverzekering hebben.

Beheren van ICT-risico’s van derden

Financiële entiteiten zullen:

• risico’s van derden beheren als een integraal onderdeel van hun algehele ICT-risico;
• contractuele regelingen hebben getroffen voor ICT-diensten om hun bedrijfsactiviteiten in volledige overeenstemming met de relevante wetgeving uit te voeren;
• rekening houden met de aard, omvang, complexiteit en het belang van ICT-gerelateerde afhankelijkheden en mogelijke risico’s;
• de voordelen en kosten van alternatieve oplossingen afwegen bij het identificeren en beoordelen van eventuele risico’s;
• in het contract de rechten en plichten van elke partij en de serviceovereenkomst opnemen.

Toezichtkader van kritieke derde aanbieders van ICT-diensten

Het kader:

• vertrouwt de Europese toezichthoudende autoriteiten (ETA’s) toe om:
  • op basis van duidelijke criteria de derde aanbieders van ICT-diensten aan te wijzen die als kritisch voor financiële entiteiten worden beschouwd,
  • als lead overseer voor elke essentiële derde aanbieder de voor de betrokken financiële entiteit verantwoordelijke ETA aan te wijzen;
• een oversightforum op te richten om:
  • relevante ontwikkelingen over ICT-risico’s en -kwetsbaarheden te bespreken en een consistente EU-monitoringaanpak te bevorderen,
  • de toezichtsactiviteiten jaarlijks te evalueren, maatregelen te bevorderen om de digitale operationele veerkracht te vergroten en beste praktijken te stimuleren,
  • uitgebreide benchmarks in te dienen voor cruciale externe ICT-dienstverleners;
• de lead overseer het mandaat te geven om:
  • het primaire contactpunt te zijn voor kritieke derde aanbieders van ICT-diensten,
  • te beoordelen of elke kritieke aanbieder over uitgebreide, degelijke en doeltreffende regels, procedures, mechanismen en regelingen beschikt,
  • alle relevante informatie en documentatie op te vragen, te onderzoeken en inspecties uit te voeren (ook in niet-EU-landen), corrigerende maatregelen te specificeren en aanbevelingen te doen;
• de Europese Bankautoriteit, de Europese Autoriteit voor verzekeringen en bedrijfspensioenen en de Europese Autoriteit voor effecten en markten in staat te stellen om samen te werken met regelgevende en toezichthoudende autoriteiten van buiten de EU op het gebied van ICT-risico’s van derden;
• ETA’s te verplichten om elke vijf jaar een vertrouwelijk verslag in te dienen bij het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie over hun omgang met niet-EU autoriteiten.

Regelingen voor het delen van informatie

Financiële entiteiten mogen onderling informatie en inlichtingen over cyberdreigingen uitwisselen, op voorwaarde dat dit:

• is gericht op het versterken van hun digitale operationele weerbaarheid;
• gebeurt binnen hun vertrouwde gemeenschappen;
• de vertrouwelijkheid van bedrijfsgegevens en persoonlijke gegevens beschermt, en de regels van het mededingingsbeleid respecteert.

Sancties en herstelmaatregelen

Bevoegde autoriteiten:

• hebben alle toezichthoudende, onderzoeks- en sanctiebevoegdheden die nodig zijn om hun taken uit te voeren;
• leggen de administratieve sancties en herstelmaatregelen op die door de nationale wetgeving worden bepaald, en publiceren deze op hun websites.

ESA’s stellen regelgevende technische normen op voor ICT-risicobeheerinstrumenten, classificatie en rapportage van ICT-gerelateerde incidenten en uitvoering van toezichtactiviteiten.

De Commissie:

• heeft de bevoegdheid om gedelegeerde handelingen vast te stellen;
• legt uiterlijk op 17 januari 2028, na raadpleging van de ETA’s en het Europees Comité voor systeemrisico’s, een herziening van de verordening voor aan het Parlement en de Raad.

De verordening wijzigt de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 909/2014, (EU) nr. 600/2014 en (EU) 2016/1011.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De verordening is sinds17 januari 2025 van toepassing.

ACHTERGROND

De hervormingen die volgden op de financiële crisis van 2008 versterkten vooral de financiële stabiliteit van de sector. ICT-risico’s werden op sommige gebieden slechts indirect aangepakt en bleven een uitdaging vormen voor de operationele weerbaarheid, prestaties en stabiliteit van het financiële systeem van de EU.

De verordening, die bekend staat als DORA, maakt deel uit van een groter pakket voor digitale financiering met als doel de technologische ontwikkeling te stimuleren en de financiële stabiliteit en consumentenbescherming te waarborgen. Andere elementen zijn een digitale financiële strategie, markten in cryptoactiva en gedistribueerde grootboektechnologie.

Zie voor meer informatie:

• Pakket digitaal geldwezen (Europese Commissie).

BELANGRIJKSTE DOCUMENT

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1-79)

GERELATEERDE DOCUMENTEN

Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s over een Strategie voor digitale financiering voor de EU (COM(2020) 591 final van 24.9.2020)

Verordening (EU) 2016/1011 van het Europees Parlement en de Raad van 8 juni 2016 betreffende indices die worden gebruikt als benchmarks voor financiële instrumenten en financiële overeenkomsten of om de prestatie van beleggingsfondsen te meten en tot wijziging van Richtlijnen 2008/48/EG en 2014/17/EU en Verordening (EU) nr. 596/2014 (PB L 171 van 29.6.2016, blz. 1-65)

Achtereenvolgende wijzigingen aan Verordening (EU) 2016/1011 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

Verordening (EU) nr. 909/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende de verbetering van de effectenafwikkeling in de Europese Unie, betreffende centrale effectenbewaarinstellingen en tot wijziging van Richtlijnen 98/26/EG en 2014/65/EU en Verordening (EU) nr. 236/2012 (PB L 257 van 28.8.2014, blz. 1-72)

Zie de geconsolideerde versie.

Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 173 van 12.6.2014, blz. 84-148)

Zie de geconsolideerde versie.

Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PB L 201 van 27.7.2012, blz. 1-59)

Zie de geconsolideerde versie.

Verordening (EG) nr. 1060/2009 van het Europees Parlement en de Raad van 16 september 2009 inzake ratingbureaus (PB L 302 van 17.11.2009, blz. 1-31)

Zie de geconsolideerde versie.

Laatste bijwerking 10.01.2024