Home - Standpunten en publicaties - CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten
14 september 2023

CONSULTATIE | Proportionaliteit ontbreekt in eerste DORA level 2-documenten

Deze zomer publiceerden de Europese toezichthoudende autoriteiten (EBA, EIOPA en ESMA – samen de ESA's) een consultatie over de eerste reeks beleidsproducten onder de Digital Operational Resilience Act (DORA). Deze technische normen zijn bedoeld om een consistent en geharmoniseerd juridisch kader te garanderen op het gebied van ICT-risicobeheer, de rapportage van grote ICT-gerelateerde incidenten en ICT-risicobeheer van derden. Op 11 september 2023 reageerde DUFAS op deze consultatie.

Bekijk onze reactie

Met het proportionaliteitsbeginsel wordt geen rekening gehouden

Wij maken ons zorgen over de toepassing van het proportionaliteitsbeginsel in de geconsulteerde RTS- en ITS-documenten (ook wel de level 2-teksten genoemd). De level 2-teksten schrijven op een heel gedetailleerde manier voor hoe instellingen aan de DORA-verplichtingen moeten voldoen, waarbij er voor de instellingen weinig ruimte is voor een risicogebaseerde aanpak. Het niveau van detail van de voorschriften resulteert effectief in een vertaling van de DORA level 1-principle based-vereisten in level 2-rule based-vereisten, die strenger zijn dan nodig is voor een vermogensbeheerder om een goed niveau van digitale operationele veerkracht te bereiken.

De koffieautomaat in scope?

Een voorbeeld waaruit blijkt dat er niet of nauwelijks met de proportionaliteit rekening wordt gehouden, is dat veel verplichtingen van de level 2-documenten het hebben over 'alle ICT-assets'. We zijn ervan overtuigd dat het niet in de geest van DORA is om alle ICT-middelen of -diensten die een IT-component bevatten onder DORA te scharen, wat zou betekenen dat een cateraar die gebruikmaakt van een kassasysteem, of een koffieautomaat waar software in zit, in scope zouden zijn. Als DORA op deze manier moet worden toegepast, is zij waarschijnlijk contraproductief bij het bereiken van digitale operationele veerkracht. Zeker als je denkt aan de grote inspanning die de verplichtingen kosten, terwijl de risico's op basis van een risicoanalyse maar heel beperkt kunnen blijken.

De impact van DORA op het milieu

Ook pleiten we ervoor om rekening te houden met de milieu-impact die sommige verplichtingen met zich meebrengen. Zo leidt een wekelijkse vulnerability scan voor alle ICT-assets – zonder rekening te houden met de classificatie van de ICT-asset of het complete risicoprofiel – door alle instellingen die wereldwijd onder DORA vallen tot een enorme verspilling van energie. Daarom pleiten we voor meer discretie voor de financiële instellingen die onder DORA vallen, waarbij beleid en processen risicogebaseerd kunnen worden uitgewerkt.

Meer informatie

Wil je meer weten of heb je vragen over deze consultatie? Stuur een mail naar Manouk Fles, manager regulatory affairs bij DUFAS. Onze Operational Resilience & Outsourcing-expertgroep blijft de ontwikkelingen rond DORA actief volgen en delen met onze leden.

Misschien vind je dit ook interessant

CONSULTATIE | DUFAS vraagt om duidelijkheid over toepassingsbereik CSRD

Standpunten en publicaties | 07 februari 2024
In een recente consultatie heeft de EFRAG, aangekondigd dat ze van plan is om verdere richtlijnen op te stellen voor duurzaamheidsrapportage door financiële ondernemingen.

CONSULTATIE | DUFAS vraagt om verruiming van criteria voor bepaalde groenprojecten

Standpunten en publicaties | 18 januari 2024
DUFAS ondersteunt de ambitie van de Nederlandse overheid om de samenleving en economie te verduurzamen, en steunt wet- en regelgeving die bijdraagt aan de (financiering van) de transitie naar een duurzame Nederlandse samenleving.

CONSULTATIE | DUFAS vraagt verdere toelichting reikwijdte rapportageverplichtingen van CSRD-implementatiebesluit

Standpunten en publicaties | 21 december 2023
Afgelopen november publiceerde het ministerie van Justitie en Veiligheid een openbare consultatie over het Implementatiebesluit richtlijn duurzaamheidsrapportering. Hiermee wordt een deel van de Corporate Sustainability Reporting Directive (CSRD) omgezet in nationale wet- en regelgeving.

Zoeken in Nieuws, standpunten en publicaties