EBA-richtlijnen versus DORA voor financiële organisaties

Voor organisaties in de financiële dienstverlening is het naleven van regelgeving een cruciaal onderdeel van bedrijfsvoering. Twee belangrijke regelgevingskaders die financiële instellingen moeten begrijpen en naleven, zijn de EBA-richtlijnen en de DORA. Hoewel beide regelgevingen gericht zijn op het verbeteren van de operationele veerkracht en beheersing van cyberrisico’s, zijn er altijd belangrijke verschillen die goed zijn om te begrijpen als organisatie. En wij zouden geen IT-organisatie zijn als we dit niet voor je zouden uitpluizen. We sluiten af met een advies over hoe financiële instellingen zich kunnen voorbereiden op het naleven van alle richtlijnen.

Wat zijn de EBA-richtlijnen?

De EBA is een EU-autoriteit die toezicht houdt op de Europese bankensector en daarbij verantwoording aflegt aan de Europese Commissie, het Parlement en de Raad. De richtlijnen zijn ontworpen om een afgestemd kader te bieden voor outsourcing binnen de financiële sector. Deze richtlijnen, die sinds 30 september 2019 van kracht zijn, richten zich specifiek op het uitbesteden van belangrijke functies of activiteiten. De belangrijkste aspecten van de EBA-richtlijnen zijn onder andere:

• Nalevings- en rapportageverplichtingen. Financiële organisaties moeten hun nalevingsstatus rapporteren aan nationale toezichthouders, in lijn met EBA-richtlijnen;
• Governance en risicobeheer. Organisaties moeten volledig ingericht risicobeheer hebben, wat betekent dat alle onderdelen van de organisatie daarin zijn opgenomen. Inclusief risico’s van derden en cyberrisico’s;
• Uitbestedingsbeleid. Instellingen moeten een schriftelijk uitbestedingsbeleid hebben dat regelmatig wordt herzien en bijgewerkt;
• Bedrijfscontinuïteit. Financiële organisaties moeten passende bedrijfscontinuïteitsplannen hebben voor uitbestede functies. Deze moeten ook periodiek worden getest.

Wat is DORA?

DORA, of de Digital Operational Resilience Act, is een wetgevend kader dat zich richt op het realiseren van een sterke IT-infrastructuur. Dit geldt voor financiële organisaties in de Europese Unie. Concreet gezien bestaat het uit een integrale aanpak voor het beheer van de risico’s die de digitale wereld met zich meebrengt. Om deze beveiliging te waarborgen, zijn financiële organisaties verplicht om zich aan de nieuwe regels te houden. De belangrijkste aspecten van DORA zijn onder andere:

• Risicobeheer en beveiliging. DORA benadrukt het belang van een volledig doordacht plan van aanpak en uitwerking voor risicobeheer. Hierin moeten alle aspecten van de digitale operaties van een organisatie worden opgenomen;
• Incidentrapportage. Financiële instellingen moeten een duidelijk en efficiënt proces hebben voor het melden van incidenten. Inclusief cyberaanvallen en andere inbreuken op veiligheid;
• Bedrijfscontinuïteit en veerkracht. Organisaties moeten sterke bedrijfscontinuïteitsplannen ontwikkelen. Deze plannen moeten ook worden getest om ervoor te zorgen dat kernactiviteiten kunnen blijven draaien. Zelfs in het geval van een ernstige verstoring als een datalek of cyberaanval;
• ICT third-party risk management. DORA stelt aanvullende eisen aan het beheer van derde partijen (zoals cloudleveranciers en IT-dienstverleners);
• Testing. Organisaties moeten periodiek advanced testing uitvoeren, zoals threat-led penetration testing (TLPT)

EBA-richtlijnen versus DORA

Eerder vergeleken we DORA met NIS2. DORA is leidend voor de financiële sector, terwijl NIS2 een bredere werking heeft over meerdere sectoren. Organisaties kunnen daardoor met beide regelgevingen te maken krijgen.

Hoewel ook de EBA-richtlijnen, net als DORA, gericht zijn op het verbeteren van de operationele veerkracht en het risicobeheer van financiële organisaties, zijn er tóch enkele belangrijke verschillen te benoemen:

• Toepassingsgebied. De EBA-richtlijnen richten zich specifiek op de uitbesteding van belangrijke functies binnen de financiële sector. DORA daarentegen heeft een breder toepassingsgebied. Het richt zich op alle digitale- en datadiensten die op een doorlopende basis worden geleverd via IT-systemen;
• Focus. De EBA-richtlijnen leggen de nadruk op interne governance en risicobeheer bij uitbesteding, terwijl DORA zich richt op het minimaliseren van de risico's die komen kijken bij digitale activiteiten en het waarborgen van een sterke IT-infrastructuur;
• Sectoren en diensten. DORA gaat over de gehele financiële sector, terwijl de EBA-richtlijnen specifiek gelden voor outsourcing in de financiële sector.

Hoe bereid je je voor op deze richtlijnen?

Concreet betekent voor de DORA dat organisaties volledig moeten voldoen aan de richtlijnen die daar zijn opgesteld. We kunnen ons voorstellen dat je door alle wetgevingen het bos niet meer ziet. Het naleven van regelgevingskaders kan complex zijn en er komt veel bij kijken. Er zijn een aantal stappen die je als financiële organisatie moet nemen om te voldoen aan de gestelde normen en eisen:

Besteed tijd aan het inlezen in de wetgeving

Het kan pittige stof zijn. We weten het. Maar je wil weten waar je als organisatie precies aan moet voldoen. Neem daarom de tijd om je in te lezen in de DORA- en/of EBA-wetgeving en de regels die voor jouw organisatie gelden.

Het uitvoeren van een grondige evaluatie

Een goede voorbereiding is het halve werk. Start met een uitgebreide evaluatie van je huidige systemen en processen. Zo kan je bepalen waar verbeteringen nodig zijn om aan zowel de EBA-richtlijnen als DORA te voldoen.

Implementeer een duidelijk kader voor risicobeheer

We hebben het al een aantal keer benoemd: de invulling van risicobeheer moet alle onderdelen van je organisatie aanraken, zodat je daarmee zo veel mogelijk risico’s van digitaal werken tackelt. Denk daarbij ook aan de risico’s die leveranciers, onderaannemers of derde partijen met zich mee kunnen brengen.

Bedrijfscontinuïteitsplannen ontwikkelen en testen

Zorg ervoor dat je goed uitgedachte plannen hebt voor bedrijfscontinuïteit. Test deze regelmatig om de effectiviteit vast te houden.

Inzicht in je IT-landschap en afhankelijkheden

Identificeer welke systemen en processen essentieel zijn voor je dienstverlening en waar de afhankelijkheden zitten in je IT-landschap.

Beheer van leveranciers

Zorg dat contracten met IT-leveranciers en cloudproviders aansluiten op de eisen rondom risico’s, continuïteit en toezicht.

Monitoring en incidentrespons verbeteren

Implementeer processen en tooling om security-incidenten snel te detecteren, analyseren en rapporteren. Hier zijn de richtlijnen ook heel streng op.

Conclusie

Al met al is het voor financiële organisaties belangrijk om te voldoen aan de richtlijnen van de Europese DORA-wetgeving. DORA vormt het centrale regelgevingskader voor digitale weerbaarheid binnen de financiële sector, terwijl EBA-richtlijnen aanvullend blijven voor specifieke thema’s zoals outsourcing.

Wanneer jouw organisatie belangrijke activiteiten uitbesteedt aan externe partijen, is het ook van belang om te voldoen aan de wetgevingskaders van EBA. Zie het niet als een verplichting, maar een belangrijke trigger om je organisatie te beschermen tegen cyberrisico’s. 

We kunnen ons voorstellen dat je na dit blog alsnog veel vragen hebt, want er komt ontzettend veel bij kijken. Wij helpen je graag vanuit onze ervaring met het uitvoeren van EBA- of DORA-assessments.