Voorbereiding op DORA en de toekomst van informatiebeveiliging
Nieuwsbrief
Nieuwe eisen voor informatiebeveiliging onder DORA
De overgang naar de Digital Operational Resilience Act (DORA) per 17 januari 2025 brengt grote veranderingen met zich mee voor informatiebeveiliging binnen pensioenfondsen. Tijdens gesprekken met verschillende fondsen hebben we gemerkt dat er veel vragen zijn over hoe de huidige richtlijnen, zoals de Good Practice Informatiebeveiliging 2023 (RSA IB) van De Nederlandsche Bank (DNB), zich verhouden tot DORA en wat de impact is op de jaarlijkse Sectorbrede Analyse Informatiebeveiliging (SBA-IB). Daarom hebben we dit onderwerp gekozen voor deze nieuwsbrief, zodat we duidelijkheid kunnen bieden en jullie zo goed mogelijk kunnen voorbereiden.
De Good Practice Informatiebeveiliging 2023: Wat blijft belangrijk?
Tot 17 januari blijft de Good Practice met de bekende 58 beheersingsmaatregelen het uitgangspunt voor de SBA-IB. Pensioenfondsen hebben deze controls de afgelopen jaren gebruikt om hun informatiebeveiliging te waarborgen. Met de invoering van DORA verandert het speelveld. DORA vervangt RSA IB als wettelijk kader en introduceert strengere en meer gedetailleerde eisen, zoals verplichte ICT-risicobeoordelingen, incidentrapportage binnen 72 uur en periodieke testen van operationele weerbaarheid.
De impact van DORA op toekomstige SBA-IB-analyses
Hoewel DNB de exacte inhoud van de toekomstige SBA-IB nog moet vaststellen, is het aannemelijk dat deze zal worden aangepast om beter aan te sluiten bij de verplichtingen onder DORA. Financiële instellingen moeten zich tijdig voorbereiden op de implementatie van DORA, onder meer door een gap-analyse en een bijbehorend activiteitenplan op te stellen op basis van de DORA-wetgeving en de eerste set technische standaarden. Het is belangrijk op te merken dat, hoewel de eerste set technische standaarden officieel is vastgesteld en vanaf 17 januari 2025 van toepassing zal zijn, de tweede set nog op definitieve vaststelling door de Europese Commissie wacht. DNB zal technische standaarden die nog niet officieel zijn vastgesteld, niet actief handhaven tot deze definitief zijn goedgekeurd door de Europese Commissie.
Voorbereiding op strengere eisen vanaf 2025
De Good Practice Informatiebeveiliging 2023 blijft het referentiekader voor onderzoeken en toezichtactiviteiten die vanaf het tweede kwartaal van 2024 zijn gestart en heeft tot en met januari 2025 als uitgangspunt gediend voor de SBA-IB 2024. Vanaf 17 januari 2025 neemt DORA het wettelijke kader over, waarmee strengere eisen van kracht worden voor informatiebeveiliging en operationele weerbaarheid.
Vanaf 2025 zal de SBA-IB zich meer richten op compliance met DORA en sectorbrede trends in digitale weerbaarheid. Dit betekent dat pensioenfondsen niet alleen moeten aantonen dat zij hun informatiebeveiliging op orde hebben, maar ook dat zij voldoen aan nieuwe eisen op het gebied van risicomanagement, uitbesteding en weerbaarheidstesten. De SBA-IB over 2024 blijft echter gebaseerd op de Good Practice Informatiebeveiliging 2023. Blijf daarom werken met de huidige 58 controls om aan de uitvraag over 2024 te voldoen, maar gebruik deze periode ook om uw processen en systemen klaar te maken voor de strengere vereisten van DORA. Het niet volledig voldoen aan DORA per 17 januari 2025 is geen ideale situatie, maar als u kunt aantonen dat u voorbereidingen treft en een actieplan heeft, zal toezichthouder DNB dit waarschijnlijk meewegen in haar beoordeling.
Strategische communicatie en samenwerking
Communicatie speelt hierbij een sleutelrol. Daarnaast moet het bestuur goed op de hoogte zijn van de voortgang en uitdagingen, zodat zij strategische beslissingen kunnen nemen en voldoende middelen beschikbaar kunnen stellen. Externe toezichthouder DNB moet tijdig geïnformeerd worden over eventuele hiaten en de stappen die worden gezet om deze te dichten.
Bent u op 17 januari nog niet volledig compliant, dan kan transparantie in combinatie met een concreet actieplan bijdragen aan het versterken van het vertrouwen van toezichthouders. Een proactieve houding en een gestructureerde aanpak worden doorgaans gewaardeerd en zullen waarschijnlijk worden meegewogen in de beoordeling door toezichthouders.