Checklist voor IT-contracten onder DORA

20 maart 2023, laatst geüpdatet 9 oktober 2024
Onlangs berichtten we al over de komst van DORA. DORA stelt allerlei eisen aan financiële entiteiten op het gebied digitale operationele weerbaarheid, cyberrisico’s en uitbestedingsrisico’s. Ook IT-contracten moeten straks dankzij DORA aan strenge eisen voldoen. Zowel op financiële entiteiten als IT-bedrijven die daar diensten aan verlenen komt veel af. In deze blog staan we hier alvast bij stil.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
Rob van Houts 
Rob van Houts 
Advocaat - Associate Partner
In dit artikel

De komst van DORA

DORA is een complexe set aan regels voor financiële entiteiten in het kader van (kort gezegd) de beheersing van ICT-risico’s. We gaan de komende tijd verschillende deelonderwerpen uit DORA lichten. Voor een korte samenvatting van DORA en op wie de nieuwe regels van toepassing zijn verwijzen we graag terug naar onze eerdere blog.

De lat voor IT-contracten omhoog

Financiële bedrijven en instellingen behoren tot de bedrijven waar automatisering al zeer vroeg zijn intrede deed. Financiële entiteiten zijn in die zin gewend na te denken over de inrichting van de ICT, de risico’s daarvan, of er moet worden geoutsourced of niet, etc.

Het aantal onderwerpen waar DORA toe verplicht om rekening mee te houden is echter fors. Een deel van deze onderwerpen is in bepaalde sectorwetgeving al (gedeeltelijk) geadresseerd, maar de vraag is of al die onderwerpen tot op heden wel altijd (en in die mate) bij alle instellingen in beeld waren. In die zin kan worden gezegd dat dankzij DORA de lat voor de beheersing van ICT-risico’s voor een deel van de instellingen wel omhoog zal gaan.

Verschillende soorten eisen

DORA geeft inzake IT-contracten in feite twee soorten eisen:

  1. Processtappen die rondom die contractering en selectie van de IT-dienstverlener moeten worden gezet; en
  2. Inhoudelijke eisen die aan IT-contracten worden gesteld.

Een deel van de eisen moet nog worden uitgewerkt in nader regelgeving. Die regelgeving is er nog niet. Dat laat onverlet dat we voor nu alvast wel een eerste indruk kunnen geven van de verplichtingen onder DORA.

Overigens is het onderscheid tussen een processtap en een contractueel inhoudelijke eis niet altijd messcherp te maken. Zo is de processtap dat moet worden getoetst of het contract voorziet in onderwerp X natuurlijk tegelijkertijd een inhoudelijke vraag of onderwerp X inderdaad in het contract staat. Het onderscheid is niettemin wel relevant, want het bestuur van de financiële entiteit zal juist mede door het doorlopen van de processtappen zo nodig achteraf moeten kunnen verantwoorden waarom er is gecontracteerd (vrij vertaald: ‘is risico X wel getoetst; zo nee, waarom niet; zo ja, hoe is dit in het contract gekomen en waarom volstaat dat?’).

Een andere reden om het onderscheid te maken is dat de IT-bedrijven met name te maken zullen krijgen met de contractueel-inhoudelijke eisen, terwijl de lezers die werken bij een financiële entiteit met beide aspecten rekening zullen moeten houden. Daarbij moeten IT-bedrijven echter niet uit het oog verliezen dat financiële entiteit straks ook verplicht zijn om een due diligence te doen over de IT-bedrijven waarmee zij mogelijk gaan contracteren. IT-bedrijven doen er dus goed aan om hun eigen processen en maatregelen ook goed tegen het licht aan te houden.

Checklist voor processtappen vooraf

DORA vereist dat bij IT-contracten de volgende processtappen worden doorlopen voordat er daadwerkelijk wordt gecontracteerd:

Taak

Artikel

Beoordelen of een kritieke of belangrijke functie wordt ondersteund

Artikel 28 lid 4

Is aan door toezichthouders gestelde voorwaarden voor het sluiten van het contract voldaan?

Artikel 28 lid 4

Zijn alle risicos beoordeeld en geïdentificeerd, waaronder het concentratierisico? Zijn de kosten en baten van concentratie afgewogen tegen de alternatieven?

Artikel 28 lid 4, artikel 29

Heeft een DD plaatsgevonden naar de aanbieder en is de aanbieder geschikt?

Artikel 28 lid 4

Is er getoetst op belangenconflicten?

Artikel 28 lid 4

Voldoet de aanbieder aan de juiste normen voor informatiebeveiliging:

· Bij kritieke of belangrijke functies: de meest actuele en hoogste normen.

· Bij overige functies: de passende normen.

Artikel 28 lid 5

Is er een exit-strategie aanwezig, voor ICT-diensten die kritieke of belangrijke functies ondersteunen?

Artikel 28 lid 8

Is bij ICT-diensten voor kritieke of belangrijke functies rekening gehouden met de risico’s van een verdere uitbesteding door die aanbieder?

Artikel 29 lid 2

Is bij ICT-diensten voor kritieke of belangrijke functies getoetst in hoeverre de lange of complexe uitbestedingsketen toezicht door de financiële instelling of toezichthouder nog mogelijk maakt?

Artikel 29 lid 2

Is bij ICT-diensten voor kritieke of belangrijke functies rekening gehouden met de gevolgen van faillissement van de aanbieder?

Artikel 29 lid 2

Is bij ICT-diensten voor kritieke of belangrijke functies die door een niet in de EU-gevestigde aanbieder worden geleverd rekening gehouden met de EU-privacyregels?

Artikel 29 lid 2

Checklist met inhoudelijk eisen aan het contract

Het IT-contract dat wordt gesloten moet voorzien in de volgende inhoudelijke eisen.

Inhoudelijke eis

Bron

Voorziet het contract in een recht op beëindiging in de volgende situaties?

· Ernstige overtredingen wet- en regelgeving;

· Indien zich voor het contract relevante risico’s zich materialiseren tijdens de uitvoering van de overeenkomst

· Bij gebleken zwakheden in het beheer van ICT-risico’s

· Indien toezicht niet langer mogelijk is.

Artikel 28 lid 7

Voorziet het contract in medewerking van de leverancier aan nakoming van een exit-strategie?

Artikel 28 lid 8

Voorziet het contract in verwijderen en veilige en integrale overdracht van gegevens bij beëindiging?

Artikel 28 lid 8

Zijn alle door de aanbieder te leveren functies duidelijk en volledig beschreven?

Artikel 30 lid 2 sub a

Is bij kritieke of belangrijke functies aangegeven of uitbesteding is toegestaan en zo ja, onder welke voorwaarden?

Artikel 30 lid 2 sub a

Is vermeld vanaf welke locaties de dienstverlening wordt verleend?

Artikel 30 lid 2 sub b

Is geborgd dat de locatie van dienstverlening niet zonder kennisgeving vooraf mag worden gewijzigd?

Artikel 30 lid 2 sub b

Zijn er afspraken over de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van (persoons)gegevens?

Artikel 30 lid 2 sub c

Zijn er afspraken die waarborgen dat bij faillissement of beëindiging van bedrijfsactiviteiten of beëindiging van het contract de verwerkte gegevens worden geleverd in een toegankelijk formaat?

Artikel 30 lid 2 sub d

Zijn er afspraken over het dienstenniveau en het actualiseren daarvan?

Artikel 30 lid 2 sub e

Zijn er afspraken over bijstand bij incidenten en de kosten voor die bijstand?

Artikel 30 lid 2 sub f

Zijn er afspraken over medewerking aan toezicht door toezichthouders?

Artikel 30 lid 2 sub g

Zijn er afspraken over opzegging en opzegtermijnen in overeenstemming met eisen van toezichthouders?

Artikel 30 lid 2 sub g

Is geborgd dat de aanbieder medewerking verleent aan de bewustwordingsprogramma op het gebied van ICT-beveiliging?

Artikel 30 lid 2 sub h

Checklist bij kritieke of belangrijke functies

Wanneer het IT-contract ziet op een zogenaamde “kritieke of belangrijke functie” dan wordt de lat nog hoger gelegd.

De kritieke of belangrijke functie is als volgt gedefinieerd:

een functie waarvan de verstoring wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit of aan de soliditeit of de continuïteit van haar diensten en activiteiten, of waarvan de beëindiging of gebrekkige of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en verplichtingen uit hoofde van haar vergunning of haar andere verplichtingen uit hoofde van het toepasselijke recht inzake financiële diensten”.

Vrij vertaald: het moet gaan om functies die de continuïteit van de bedrijfsvoering of naleving van wet- en regelgeving raken. Dat zal bij systemen die verband houden met de primaire processen al heel snel spelen.

Voor dergelijke functies gelden de volgende aanvullende eisen:

Inhoudelijke eis

Artikel bron

Zijn bij contracten inzake kritieke of belangrijke functies nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen vastgelegd die maken dat doeltreffende monitoren mogelijk is en corrigerende maatregelen kunnen worden getroffen?

Artikel 30 lid 3 sub a

Is in contracten inzake kritieke of belangrijke functies geborgd dat de aanbieder tijdig rapporteert over alles dat relevant is voor de dienstverlening?

Artikel 30 lid 3 sub b

Is in contracten inzake kritieke of belangrijke functies geborgd dat de aanbieder noodplannen heeft en deze periodiek test?

Artikel 30 lid 3 sub c

Is in contracten inzake kritieke of belangrijke functies geborgd dat de aanbieder medewerking verleent aan periodieke pentesten (TLPT)?

Artikel 30 lid 3 sub d

Is in contracten inzake kritieke of belangrijke functies geborgd dat de aanbieder medewerking verleent aan audits, waaronder begrepen onbeperkte rechten van toegang en maximale medewerking met toezichthouders?

Artikel 30 lid 3 sub e

Is in contracten inzake kritieke of belangrijke functies geborgd dat de aanbieder verplicht is de diensten in een overgangsperiode voort te zetten zodanig dat zonder verstoring op een ander aanbieder kan worden overgestapt?

Artikel 30 lid 3 sub f

Het is duidelijk: bij deze kritieke functies voldoet een standaard-SLA bepaald niet. Ook valt het zeer ruime auditrecht op en de plicht medewerking te verlenen aan pentesten.

Ten slotte

Zoals u heeft kunnen lezen is het aantal eisen fors. Er gaat dus veel op zowel financiële instellingen als hun IT-leveranciers af komen. Zorg er voor dat uw processen beschreven en op orde zijn en dat contracten voldoende tijdig zijn aangepast op deze nieuwe eisen. We zijn u hier uiteraard graag bij van dienst.