DORA in de pensioensector

De Digital Operational Resilience Act (DORA) is een Europese verordening die sinds januari 2023 van kracht is. Het doel van DORA is dat financiële organisaties IT-risico’s beter beheersen en weerbaarder worden tegen cyberdreigingen; meer in het bijzonder beoogt DORA de ketenveiligheid te verbeteren. Voor pensioenfondsen zijn De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) de toezichthoudende instanties. DORA vereist dat financiële instellingen vanaf 17 januari 2025 aantoonbaar aan de betreffende voorschriften voldoen. DNB en de AFM zullen toezicht houden op de naleving van DORA.

Waar staan we nu?
DORA bestaat uit vijf kernpijlers die betrekking hebben op verschillende aspecten en domeinen op het gebied van Operatie, ICT en cybersecurity: 1. ICT Risk Management, 2. Digital Operational Resilience Testing, 3. Information Sharing, 4. ICT Third-Party Risk Management en 5. ICT-Related Incidents. Door de introductie van DORA ontstaat er voor relevante organisaties een uitgebreid kader om hun digitale veerkracht te waarborgen.

Additionele procedures en controles ten opzichte van al bestaande regelgeving
DORA vereist de inzet van extra procedures en controles, ondanks reeds bestaande wetgeving zoals de GDPR en de Good Practice Informatiebeveiliging versie 2019 van DNB. De in eind 2023 uitgekomen Good Practice Informatiebeveiliging versie 2023 sluit beter aan bij DORA door specifieke zaken vanuit DORA op te nemen.

Binnen de pensioensector is de mate van uitbesteding door het pensioenfonds een belangrijke factor als het gaat om het bereiken van compliance met DORA. Hierin is grofweg de volgende verdeling te zien (in de praktijk zijn verschillende nuances mogelijk): enerzijds zijn er pensioenfondsen die alle activiteiten in-house hebben en daarmee zelfadministrerend zijn, en anderzijds zijn er veel pensioenfondsen die al hun processen hebben uitbesteed aan onder andere een pensioenuitvoerder, vermogensbeheerder en custodian. Deze dynamiek van uitbesteding neemt niet de verantwoordelijkheid voor DORA weg van pensioenfondsen, maar bepaalt wel in grote mate de wijze waarop deze DORA dienen te implementeren en welk pad ze hierbij moeten bewandelen.

In beide gevallen zijn de pensioenfondsen verantwoordelijk voor de tijdige implementatie van DORA, maar is de eerste groep hierin veel meer zelfvoorzienend, op de eigen organisatie aangewezen, en heeft ze in mindere mate externe afhankelijkheden. De uitdaging bij deze groep komt voort uit het ontbreken van voldoende in-house capaciteit en de juiste expertise die nodig is voor een DORA-implementatie. De tweede groep is in grote mate overgeleverd aan derde partijen om DORA-compliance te bewerkstelligen, maar blijft nog steeds verantwoordelijk. Pensioenfondsen uit deze groep hebben vaak onvoldoende zicht op de langer wordende uitbestedingsketens.

Beide typen pensioenfondsen dienen in het kader van DORA vast te stellen wat hun kritieke en belangrijke functies zijn en welke scope aan ICT-systemen en leveranciers hierbij hoort. Beide partijen zullen ook vanuit de DORA-pijler ‘Third Party Risk Management’ de regierol op deze derde partijen en contract-compliance moeten implementeren.

De uitdaging voor de pensioenfondsen met veel uitbesteding is dat naast een versimpelde DORA-implementatie voor hun eigen organisatie, zij erop moeten toezien dat de uitbestedingspartijen (d.w.z. pensioenuitvoerder, vermogensbeheerder en custodian, ICT-dienstverlener) de DORA-vereisten over alle pilaren implementeren in lijn met de risicobereidheid en -toleranties van het pensioenfonds. Verder dient het pensioenfonds hier in voldoende mate schriftelijk comfort over te krijgen. Vaak hebben de pensioenfondsen door hun kleine formaat al te maken met de nodige uitdagingen om een effectieve regierol uit te voeren; de kans is groot dat DORA deze uitdagingen alleen maar groter maakt.

We benadrukken dan ook het belang dat deze pensioenfondsen (voor zover nog niet gedaan) een reach-out doen naar hun uitbestedingspartijen om de DORA-vereisten te bespreken en afspraken te maken over de implementatie ervan om op tijd compliant te zijn.

Om DORA-compliant te worden is het belangrijk om tijdig in actie te komen. Daarbij verdienen de volgende acties prioriteit:

1. Identificatie van kritieke en belangrijke functies
   Voor een effectieve implementatie van DORA is het essentieel dat een pensioenfonds inzicht heeft in de kritieke en belangrijke functies. Dit inzicht vormt het eerste uitgangspunt voor een evaluatie van de activiteiten die uitgevoerd moeten worden om uiteindelijk DORA-compliant worden en daarmee over een voldoende weerbare en beheersbare organisatie te beschikken.
2. Huidige stand van zaken
   Een DORA-scan is een goed startpunt om vast te stellen waar een pensioenuitvoerder nu staat met betrekking tot de DORA wet- en regelgeving en wat er nog nodig is om DORA-compliant te worden. Aanvullend is het belangrijk om de verantwoordelijkheden in kaart te brengen voor het naleven van de DORA wet- en regelgeving binnen de organisatie, aangezien DORA niet alleen inspanning vergt van ICT-afdelingen, maar betrokkenheid vereist van de hele organisatie.
3. Ketenverantwoordelijkheid
   Beoordeel en evalueer de keten van leveranciers om een juiste inschatting te maken van de risico’s per leverancier en de vastlegging hiervan in een ICT-strategie en -beleid voor risico’s van derden. Maak hierbij gebruik van de ‘regulatory technical standards’ (RTS) om het huidige beleid omtrent kritieke of belangrijke uitbesteding waar nodig aan te scherpen.
4. Test beleid en procedures
   Test regelmatig het beleid en de procedures om kwetsbaarheden in de digitale infrastructuur te identificeren en te adresseren. Het bezitten van beleid en procedures alleen is dus niet voldoende.
5. DORA als doorlopende cyclus
   Hergebruik eerder geïmplementeerde oplossingen en beleid dat ziet op het vergroten van de digitale weerbaarheid voor het voldoen aan de DORA wet- en regelgeving. Zie DORA dus als een doorlopende cyclus, waarin de aspecten implementatie, praktijkervaringen en optimalisatie ‘key’ zijn. 

De rode draad voor DORA-implementatie

Wat de DORA wet- en regelgeving betreft is er een rode draad zichtbaar, namelijk dat er behoefte is aan samenwerking om de digitale oplossingen te leveren die voldoen aan de DORA-voorschriften. Stel daarom een projectteam samen met interne en externe experts, zodat de organisatie zich kan voorbereiden op de implementatie van DORA. Definieer waar de knelpunten in de beveiliging zitten en verbeter deze zowel op de lange termijn als in de dagelijkse operatie door actief in te zetten op processen, rapportage en evaluatie.

De implementatie van DORA om compliant te worden aan haar wet- en regelgeving vergt een forse inspanning, zeker naast de implementatie van de Wtp. Met name voor de pensioenfondsen, de pensioenuitvoeringsorganisaties en de leveranciers zal het een force majeure zijn om de kennis en capaciteit op dit vlak te verkrijgen in de tijd die nog rest. De inspanning is uiteraard afhankelijk van het vertrekpunt van het pensioenfonds, de uitvoeringsorganisatie of de leverancier. Maar de tijd die nog resteert is ook kort. Dit zou ertoe kunnen leiden dat pensioenfondsen en pensioenuitvoeringsorganisaties gaan ‘rennen’ om de deadline te halen. Het is verstandig om per direct te starten met een assessment en de implementatie.

‘Concurrentie’ is op dit vlak echter niet aan de orde en voor de start van het rennen zou dan ook nagedacht kunnen worden over samenwerken en het actief delen van kennis en ervaringen in de pensioensector. Dit is een ideaal domein om als organisatie het wiel niet opnieuw uit te hoeven vinden.

Momenteel is er al veel kennis opgebouwd en zijn er ook al ‘good practices’ beschikbaar vanuit de financiële sector, zoals banken en verzekeraars, die zeer goed bruikbaar zijn voor de pensioensector.

Hoe mooi zou het zijn als er een platform is voor de pensioensector om elkaar hier te helpen om te accelereren en de kosten beheersbaar te houden. KPMG wil daar graag een rol in vervullen.