Op 14 december 2022 is de Digital Operational Resilience Act of “DORA” aangenomen door het Europees Parlement. Het doel van deze verordening is om de digitale weerbaarheid van financiële instanties te verhogen. Zo kunnen zij zich beter tegen cyberproblemen weren die hun processen verstoren. Over deze verordening schreven wij al eerder deze blogpost. In deze blog staan wij stil bij de manier waarop evenredigheid de toepassing van de DORA bepaalt.
Gelaagde evenredigheid
Terug naar de basis: een belangrijk beginsel binnen het Europees recht is het evenredigheidsbeginsel. Dit beginsel betekent dat al het handelen van (instituties van) de Europese Unie niet verder gaat dan nodig is om de doelstellingen van de Europese Unie te verwezenlijken.
Het beginsel neemt ook een centrale plaats in binnen de DORA. In artikel 4 van de DORA is het evenredigheidsbeginsel namelijk expliciet opgenomen:
“Financiële entiteiten passen de bij hoofdstuk II ingevoerde regels toe overeenkomstig het evenredigheidsbeginsel, rekening houdend met hun omvang, algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen.”
Ondanks het feit dat evenredigheid een algemeen beginsel binnen het Europees recht is, voelde de Europese wetgever de noodzaak om hier in de DORA een apart artikel aan te wijden. Dit benadrukt het belang dat de wetgever hecht aan evenredigheid binnen de DORA. De regels uit hoofdstuk II moeten steeds worden toegepast overeenkomstig het evenredigheidsbeginsel. De toepassing van de regels uit andere hoofdstukken staat in verhouding tot de omvang, het algehele risicoprofiel, de aard, schaal en complexiteit van hun diensten activiteiten en verrichtingen zoals specifiek bepaald is in die hoofdstukken. In de tweede situatie is de evenredigheid volgens de wetgever dus al voldoende ingebed in de specifieke regels.
Naast dit algemene artikel over evenredigheid, geeft de DORA ook op andere manieren uiting aan het beginsel van evenredigheid. Zo kent zij een lijst met financiële entiteiten waar zij niet op van toepassing is (artikel 2 lid 2 DORA) en gelden bepaalde verplichtingen niet voor micro-ondernemingen (minder dan 10 mensen in dienst en een jaaromzet of balanstotaal van minder dan EUR 2 miljoen).
Hiermee ontstaat het beeld van een gelaagde toepassing van het evenredigheidsbeginsel in de DORA. Allereerst is het beginsel als algemeen beginsel van Europees recht op de hele verordening van toepassing. Ten tweede wordt er verder concreet uiting gegeven aan dit beginsel door bepaalde financiële entiteiten uit te zonderen van de reikwijdte, of van bepaalde verplichtingen. Maar er is nog een extra laag aan evenredigheid (artikel 4 DORA), die maakt dat entiteiten die wél binnen het toepassingsbereik vallen, bepaalde regels met inachtneming van het evenredigheidsbeginsel toepassen en rekening houdend met hun omvang, algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen.
Wij zijn van mening dat toepasselijkheid van het algemene Europeesrechtelijke beginsel van evenredigheid niet uitgesloten kan worden. Het beginsel is dus naar onze mening op de gehele verordening van toepassing. Maar, aangezien dit beginsel een concrete uitwerking heeft gekregen in artikel 4 DORA, denken wij dat slechts terughoudend aan dit beginsel kan worden getoetst, omdat de wetgever zich er expliciet rekenschap van heeft gegeven.
Op wie is de DORA wel en niet van toepassing?
Een eerste uiting van evenredigheid in de DORA is het toepassingsbereik. Het eerste lid van artikel 2 DORA geeft een ruime opsomming van entiteiten die onder de reikwijdte van de DORA vallen, van kredietinstellingen en handelsplatformen, tot aanbieders van datarapporteringsdiensten en verzekeringsondernemingen.
Hoewel het de intentie is van de wetgever om het toepassingsbereik van de DORA groot te houden, valt niet elke financiële entiteit onder de DORA. Zo zijn onder meer de volgende entiteiten uitgezonderd:
- Beheerders van alternatieve beleggingsentiteiten die onder het light regime vallen;
- Kleine verzekeraars;
- Kleine entiteiten voor bedrijfspensioenvoorzieningen (minder dan 15 leden);
- Postcheque- en girodiensten;
- Verzekeringsbemiddelaars die een micro-, kleine of middelgrote onderneming zijn.
Deze entiteiten zijn waarschijnlijk uitgezonderd omdat de Europese wetgever het gezien hun omvang en bedrijfsvoering te belastend vond om ze aan de DORA te laten voldoen. Dit kan beschouwd worden als een uitvloeisel van het evenredigheidsbeginsel.
Ook kent de DORA een aantal uitzonderingen van bepaalde verplichtingen voor micro-ondernemingen. Dit verlichte regime voor micro-ondernemingen is een ander gevolg de toepassing van het evenredigheidsbeginsel.
De DORA in het kort
De DORA gaat om cyberweerbaarheid. In de verordening worden vereisten gesteld voor de beveiliging van netwerk- en informatiesystemen van financiële entiteiten. De DORA geeft 6 primaire verplichtingen voor financiële entiteiten:
- Entiteiten moeten aan risicobeheer doen op het gebied van ICT;
- Entiteiten moeten ernstige ICT-gerelateerde incidenten en significante cyberdreigingen melden;
- Entiteiten moeten hun digitale weerbaarheid testen;
- Entiteiten moeten de ICT-risico’s van derde aanbieders beheren;
- Entiteiten moeten informatie en inlichtingen over cyberdreigingen en cyberkwetsbaarheid uitwisselen
- Contracten tussen entiteiten en IT-leveranciers moeten aan bepaalde vereisten voldoen.
De regels over vereiste 1 (ICT risicobeheer) moeten worden toegepast door financiële entiteiten overeenkomstig het evenredigheidsbeginsel. Hierbij is dus expliciet aangegeven dat voorde toepassing van hoofdstuk II (ICT-risicobeheer) maatwerk nodig is. Dit blijkt ook uit overwegingen 36 en 38 bij DORA.
Voor de overige 5 onderwerpen geldt niet dat dit expliciet is aangegeven. Het lijkt erop dat een minder vergaande toepassing van de relevante normen, alleen mogelijk is als dat expliciet zo in de DORA is opgenomen (artikel 4 lid 2 DORA), of als dit voortvloeit uit het algemene evenredigheidsbeginsel, wat naar onze mening terughoudend getoetst moet worden.
Concreet: ICT-risicobeheer
Wat betekent dit dan in de praktijk? Voor bepaalde “kleine” financiële entiteiten geldt een verlicht regime met betrekking tot het ICT-risicobeheer (artikel 16 DORA). Dit vormt wederom een uiting van evenredigheid. Desalniettemin moeten op grond van artikel 4 DORA (de algemene evenredigheid) de vereisten uit het normale regime en het verlichte regime óók worden toegepast met inachtneming van de omvang, het algehele risicoprofiel en de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen van de betrokken entiteit.
In het normale regime zijn diverse punten denkbaar waar evenredigheid een rol zou kunnen spelen bij de toepassing van regels. Er zijn echter ook punten waar geen toepassing naar evenredigheid mogelijk is gezien de aard van de regel. Zo bepaalt artikel 8 lid 4 DORA bijvoorbeeld dat financiële entiteiten alle informatie- en ICT-activa identificeren. Uit de aard van die regel blijkt dat er geen mogelijkheid is om evenredigheid toe te passen: alle activa moeten geïdentificeerd worden (ook die op afgelegen locaties). De regel bepaalt hier al wat het resultaat moet zijn en er is feitelijk geen ruimte voor de entiteit om hier een eigen invulling aan te geven.
Een mooi voorbeeld van een bepaling waarbij een toepassing naar evenredigheid wél mogelijk is, is artikel 13 lid 1:
“Financiële entiteiten beschikken over capaciteiten en personele middelen om informatie te verzamelen over kwetsbaarheden en cyberdreigingen, ICT-gerelateerde incidenten, met name cyberaanvallen, en om de waarschijnlijke gevolgen ervan voor hun digitale operationele weerbaarheid te analyseren.”
Over welke capaciteiten en personele middelen een financiële entiteit moet beschikken wordt logischerwijs bepaald door de omvang en het algehele risicoprofiel van de onderneming, maar ook door de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen van de onderneming. Zo zal een beleggingsonderneming die haar dienstverlening exclusief digitaal heeft ingericht en op dagelijkse basis veel orders afhandelt de nodige capaciteit moeten aanwenden om informatie te verzamelen over cyberdreigingen. Gezien haar activiteiten is zij namelijk kwetsbaar voor eventuele cyberaanvallen. Haar risicoprofiel zal ook (zeer) defensief zijn omdat de gevolgen van een eventuele stillegging van haar activiteiten enorm kan zijn.
Daar tegenover staat dat een verzekeringstussenpersoon die nog veel van zijn werkzaamheden analoog verricht, minder capaciteiten en personeel zal hoeven te hebben voor het verzamelen van informatie over cyberdreigingen. Hij zal minder kwetsbaar zijn voor een cyberaanval en de gevolgen van een eventuele verstoring zullen ook kleiner zijn. Analoge dienstverlening kan immers niet met een cyberaanval worden verstoord, en de gevolgen zijn kleiner: als iemand vanwege een aanval iets langer moet wachten op verzekeringsbemiddeling, is de schade over het algemeen te overzien.
Zo zal telkens per norm bekeken moeten worden of er überhaupt ruimte is om de evenredigheidstoets van artikel 4 lid 1 toe te passen. En als de evenredigheidstoets toegepast kan worden, dan moet nagedacht worden over hoe deze vormgegeven moet worden.
Om nog een laag aan complexiteit toe te voegen met betrekking tot de regels over ICT-risicobeheer en evenredigheid, moeten ook de regulatory technical standards (RTS) over ICT-risicobeheer in acht worden genomen. De RTS vormen een nadere uitwerking van de verordening. Bij het opstellen van de RTS moesten de Europese toezichthouders rekening houden met de evenredigheid. Dit hebben ze onder andere gedaan door een algemeen artikel over evenredigheid toe te voegen (artikel 1 RTS). Bij het toepassen van de verplichtingen uit de RTS moet dus ook weer rekening gehouden worden met het evenredigheidsbeginsel.
Conclusie
Een diverse groep financiële entiteiten en hun IT-leveranciers zullen aan de DORA moeten voldoen. Dit vereist een goede voorbereiding. Bepaalde bepalingen in de DORA bieden (gelukkig) de ruimte om de concrete toepassing daarvan af te stemmen op de omstandigheden van de betrokken onderneming. Dit kan onnodig belastende maatregelen voorkomen.
Wilt u als financiële entiteit of ICT leverancier weten waar deze ruimte zit? Of wilt u weten of bepaalde verplichtingen ook voor u gelden? Neem dan vooral contact op met ons DORA-team. We helpen u graag.
Rob van Houts en Jeroen Peters, advocaten Banking & Finance
Mark Jansen en Thijmen van Hoorn, advocaten IT, privacy en cybersecurity
Met dank aan Nynke Reilink en Rick Berends