Inleiding
Als bedrijf dat diensten levert aan financiële instellingen, is naleving van de EU Digital Operational Resilience Act (DORA) is een bedrijfsprioriteit en een wettelijke noodzaak voor Circit. Alle entiteiten die onder de reikwijdte van de wet vallen, moeten hieraan voldoen tegen 17 januari 2025. Onze klanten omvatten auditors en financiële instellingen van elke omvang die op ons vertrouwen voor veilige, ononderbroken toegang tot geverifieerde transacties en gerelateerde auditgegevens. Daarom is naleving van de DORA-wet vóór de deadline essentieel voor Circit, niet alleen om ervoor te zorgen dat we voldoen aan de wettelijke normen, maar ook om het vertrouwen dat we met onze klanten hebben opgebouwd te versterken.
Als Account Informatie Service Provider (AISP) merkten we dat het proces om aan DORA te voldoen enkele uitdagingen met zich meebracht voor het bedrijf. Richtlijnen zoals deze wet zijn vaak ontworpen en geschreven met complexe, risicovolle entiteiten in gedachten. Hoewel deze robuuste vereisten essentieel zijn om de stabiliteit van het financiële systeem te waarborgen, kunnen ze uitdagingen opleveren voor entiteiten die niet hetzelfde niveau van middelen kunnen inzetten als de grootste en meest complexe bedrijven. Als gevolg hiervan had Circit een strategische aanpak nodig die gebruikmaakte van onze bestaande governance, frameworks en certificeringen, terwijl de unieke vereisten van de wet werden aangepakt. Hier is hoe we deze reis hebben doorlopen, de uitdagingen die we tegenkwamen, en hoe we ervoor zorgden dat onze aanpak zowel effectief als duurzaam was.
Achtergrond
DORA werd door de Europese Unie geïntroduceerd om risico's aan te pakken die voortvloeien uit digitalisering in de financiële sector. Met de toename van cyberaanvallen, de afhankelijkheid van externe technologieleveranciers en onderling verbonden financiële systemen, is het potentieel voor ICT-gerelateerde verstoringen om de financiële stabiliteit te beïnvloedenaanzienlijk gegroeid. DORA verplicht daarom dat financiële entiteiten uitgebreide frameworks implementeren om hun activiteiten te beschermen en het bredere financiële ecosysteem te beveiligen onder 5 pijlers: ICT-risicobeheer, incidentrapportage, toezicht op derden, informatie-uitwisseling en veerkrachttesten. Door een geharmoniseerde benadering van digitale veerkracht te creëren, streeft DORA ernaar het vertrouwen te vergroten, kwetsbaarheden te verminderen en ervoor te zorgen dat financiële diensten soepel kunnen blijven functioneren, zelfs bij ongunstige omstandigheden.
De uitdagingen
DORA is breed van toepassing op financiële entiteiten, van wereldwijde betalingsverwerkers tot AISP's zoals Circit. Hoewel de wet streeft naar uniforme veerkracht binnen het financiële ecosysteem, presenteert het duidelijke uitdagingen voor entiteiten die variëren in complexiteit, risico en omvang. Hier is een overzicht van enkele belangrijke uitdagingen die Circit heeft overwonnen als onderdeel van het DORA-compliant worden:
Regelgeving geschreven voor complexe entiteiten met een hoog risico: Veel van de taal van DORA, met name rond ICT-risicobeheer, operationele veerkracht en governance, gaat uit van een niveau van complexiteit en beschikbaarheid van middelen dat meer van toepassing is op de grootste, risicovolle entiteiten. Op het eerste gezicht zou het kunnen lijken dat bedrijven die niet op deze schaal opereren, de infrastructuur of het personeel missen om bepaalde vereisten in dezelfde verhouding te implementeren.
Kosten- en middelenbeperkingen: Veel vereisten – zoals risicobeoordelingen van derden, veerkrachttesten en documentatie – lijken aanzienlijke investeringen in tijd en middelen te vergen. Voor organisaties die kleiner zijn dan Circit, kan het voldoen aan deze vereisten zonder toegewijde compliance-teams leiden tot aanzienlijke middelenbeperkingen.
Complexiteit van Oplossingen: Vereisten voor veerkracht, zoals stresstests en back-upsystemen, kunnen onevenredig belastend aanvoelen voor entiteiten met een laag risico. De aard van het werk van een AISP (bijv. het aanbieden van rekeningaggregatie) vereist mogelijk niet hetzelfde niveau van veerkrachtplanning als een hoogrisicobetalingsverwerker.
Onze aanpak van DORA
Bij Circit is onze aanpak om te voldoen aan DORA gebaseerd op het gebruik van onze bestaande sterke fundamenten die al aanwezig zijn door het behalen van certificering in ISO2700:2022 en SOC2 Type 2. Het is verstandig te vermelden dat er enkele misvattingen bestaan rond DORA; er is gesuggereerd dat ISO/SOC-certificeringen een organisatie automatisch kwalificeren voor DORA-naleving – dit is echter onjuist. Bij Circit hebben we een gestructureerde aanpak gehanteerd, waarbij we systematisch hebben achterhaald waar onze activiteiten niet in lijn waren met de DORA-vereisten, en vervolgens die lacunes hebben opgevuld op een manier die integreert in onze bestaande kaders en processen, waardoor de verstoring van de bedrijfsvoering tot een minimum wordt beperkt.
Afbakening van de vereisten:
De eerste stap omvatte een grondige beoordeling van de volledige tekst van DORA om de reikwijdte en implicaties ervan te begrijpen. Via dit proces konden we specifieke vrijstellingen en verplichtingen vaststellen die van toepassing zijn op Circit als AISP. Ook door het bestuderen van de wet kregen we een goed begrip van Artikel 4: Het proportionaliteitsbeginsel (dat beschrijft hoe ontwikkelde oplossingen voor DORA-vereisten moeten worden toegepast op basis van de omvang, complexiteit en het risico van een entiteit voor het financiële systeem).
Crosswalk-mapping:
Met behulp van een crosswalk-methode hebben we vervolgens de vereisten van DORA afgezet tegen de controles en processen die al aanwezig zijn onder onze SOC2- en ISO 27001-certificeringen. Deze stap bracht aan het licht op welke gebieden we al compliant waren en stelde ons in staat onze inspanningen te stroomlijnen. Bovendien bood het praktisch inzicht in de mate van proportionaliteit die we moesten toepassen op gebieden waar we geen overlap hadden met deze certificeringen.
Uitgebreide Gapanalyse:
Na de crosswalk hebben we nogmaals de DORA-vereisten doorgenomen en een gapanalyserapport opgesteld dat beoordeelde waar de huidige praktijken van Circit afweken van de DORA-mandaten. Elke lacune kreeg een complexiteits- en impactbeoordeling toegewezen om herstelinspanningen effectief te prioriteren, waarbij ervoor werd gezorgd dat gebieden met een grote impact als eerste werden aangepakt.
Op pijlers gebaseerde bevindingen en aanbevelingen:
De vijf belangrijkste pijlers van DORA – ICT-risicobeheer, incidentrapportage, testen van digitale operationele veerkracht, beheer van derderisico's en informatie-uitwisseling – dienden als kader voor het presenteren van bevindingen. Voor elke pijler hebben we de geïdentificeerde lacunes gedetailleerd beschreven en concrete aanbevelingen voor verbeteringen gedaan. Deze aanbevelingen konden variëren van iets kleins zoals een kleine beleidswijziging tot iets complexers zoals de ontwikkeling van geheel nieuwe operationele procedures of systeemgebaseerde wijzigingen.
Implementatie van de wijzigingen:
Herstelmaatregelen werden geïmplementeerd volgens het prioriteitskader dat is opgesteld in de gapanalyse. Elke wijziging doorliep ontwikkeling, implementatie, beoordeling/herziening en uiteindelijke goedkeuring. Inzicht van belangrijke materiedeskundigen uit onze hele organisatie zorgde ervoor dat alle wijzigingen bleven voldoen aan de operationele en beveiligingsnormen van Circit.
Integratie: Monitoring, Governance & Audit
Circit integreert DORA-vereisten waar mogelijk in onze bestaande werkwijzen, in plaats van parallelle DORA-specifieke processen te hanteren. Via deze aanpak waarborgen we compliance en ondersteunen we operationele efficiëntie. Deze methode heeft ook bijgedragen aan de manier waarop het doorlopende monitoringkader van Circit zich aanpast aan DORA. We integreren nieuwe DORA-beveiligingscontroles, -controles en -revisies in onze bestaande governancestructuur om ervoor te zorgen dat de vereisten onder DORA naadloos aansluiten bij de gevestigde processen van Circit.
Om volledige transparantie en auditbereidheid onder DORA te waarborgen, heeft Circit ervoor gekozen een uitgebreid nalevingspakket samen te stellen met alle relevante bewijsstukken en ondersteunende documentatie. Dit pakket was zo georganiseerd dat elke wettelijke vereiste werd gekoppeld aan specifiek bewijsmateriaal (beleid, processen, rapportagekaders enz.), waarmee onze compliance over elk van de vijf belangrijkste pijlers van DORA werd aangetoond. Het bevat een kruisverwijzingstabel die DORA-artikelverwijzingen afstemt op de interne activiteiten van Circit, gekoppeld aan ondersteunend bewijsmateriaal. Door dit nalevingspakket te ondersteunen, hoopt Circit niet alleen de gereedheid voor externe audits te waarborgen, maar ook een cultuur binnen onze organisatie te bevorderen die proactief kan reageren op aankomende regelgevingsuitdagingen, ongeacht de omvang of complexiteit.
Project hoogtepunt: De oplossing vinden, het belang van proportionaliteit
Een hoeksteen van Circit's succes bij het bereiken van compliance met de Digital Operational Resilience Act (DORA) is onze strategische toepassing en begrip van het proportionaliteitsbeginsel. Dit vaak over het hoofd geziene aspect van de regelgeving stelt ons in staat om onze compliance-inspanningen passend af te stemmen zonder de robuustheid van onze operationele veerkracht in gevaar te brengen.
Dit is te vinden in Hoofdstuk 1, Artikel 4 van de wet, waarin staat:
“Financiële entiteiten implementeren... [Hoofdstukken 2-4 & 5 sectie 1] in verhouding tot hun omvang en algemene risicoprofiel, en tot de aard, schaal en complexiteit van hun diensten, activiteiten en operaties,”
Digital Operational Resilience Act, VERORDENING (EU) 2022/2554, pagina 29
Het proportionaliteitsbeginsel in de DORA-wet zorgt ervoor dat de gestelde eisen worden toegepast op basis van de omvang van een entiteit en het risico voor het financiële systeem. Dit beginsel stelt entiteiten met lagere regelgevingslasten (waaronder Circit) in staat om afgeschaalde oplossingen te implementeren om aan de wet te voldoen. Omgekeerd moeten grotere, risicovolle instellingen, zoals grote banken of betalingsverwerkers, uitgebreidere maatregelen implementeren om aan de vereisten te voldoen. Deze differentiatie, hoewel gemakkelijk over het hoofd gezien, is cruciaal voor de ontwikkeling van praktische oplossingen voor de vereisten onder DORA.
Let op: Niet alle delen van elk hoofdstuk passen het proportionaliteitsbeginsel toe; het is cruciaal om de wet te lezen en te bepalen waar dit wel en niet van toepassing is.
Dit brengt onmiddellijk een andere uitdaging met zich mee; DORA laat deze proportionaliteit van aanpak over aan elk bedrijf (d.w.z. open voor interpretatie). Als organisatie moet u analyseren wat de wet vraagt en vervolgens zelf beslissen wat u praktisch zult implementeren om op een proportioneel niveau compliant te zijn.
Er zijn geen eenduidige richtlijnen over proportionaliteit die stellen 'als u entiteit X bent, pas dan controle Y toe'. Bovendien zal het aan de verschillende Europese Toezichthoudende Autoriteiten (ETA's) zijn om deze proportionaliteit te interpreteren (en we kunnen daarom verschillen zien in wat 'proportioneel' acceptabel is in verschillende EU-lidstaten). Het is moeilijk om precies te weten wat wel of niet acceptabel zal zijn – daarom is het van cruciaal belang dat organisaties de komende jaren nauwlettend toezicht houden op eventuele audits en bevindingen die onder DORA plaatsvinden – in geval van noodzakelijke aanpassingen.
