Artikel Wendbare onderneming

Hoge lat voor uitbesteding kritieke en belangrijke functies in concept RTS onder DORA

5 januari 2024, laatst geüpdatet 9 oktober 2024
In het kader van het verlenen van ICT-diensten aan financiële entiteiten is er niet zelden sprake van een complexe keten van ICT-uitbesteding waarbij externe ICT-dienstverleners een of meer onderaannemingsovereenkomsten kunnen sluiten met andere externe ICT-dienstverleners. Deze onderuitbesteding van ICT-diensten doet echter niet af aan de verantwoordelijkheden van de financiële entiteiten en hun bestuursorganen om hun risico's te beheren. Vandaar ook dat in artikel 30 lid 2 sub a van de DORA staat dat in IT-contracten met een derde aanbieder van ICT-diensten o.m. worden vastgelegd of onderuitbesteden van ICT-diensten is toegestaan bij kritieke of belangrijke functies. Hierover verscheen onlangs een concept RTS; een document met aanvullende regelgeving. Deze RTS gaat in op de vraag wanneer uitbesteding is toegestaan en waaraan dan voldaan moet worden. Een korte analyse.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
Rob van Houts 
Rob van Houts 
Advocaat - Associate Partner
In dit artikel

Conceptversie van de RTS

Het document dat we in dit blogbericht bespreken is een conceptversie die – samen met andere documenten – in consultatie is gegeven.

Het document is op 27 november 2023 vastgesteld en vervolgens op 8 december 2023 in consultatie gegeven. De consultatieperiode loopt tot 4 maart 2024. Op 23 januari 2024 is er een openbaar webinar waarin het publiek over het concept wordt gehoord.

Artikel 1: algemene kaders voor beoordeling complexiteit en risico

De RTS is gelaagd opgebouwd. In het eerste artikel wordt eerst in algemene zin aangegeven dat voor de beoordeling van complexiteit en risico steeds met de volgende factoren rekening moet worden gehouden:

  1. de locatie van de ICT-onderaannemer of zijn moederbedrijf;
  2. het aantal ICT-onderaannemers;
  3. de aard van de gegevens die worden gedeeld met de ICT-onderaannemers;
  4. de locatie van gegevensverwerking en opslag;
  5. of de ICT-onderaannemers deel uitmaken van dezelfde groep van de financiële entiteit;
  6. de overdraagbaarheid van de ICT-dienst die een kritische of belangrijke functie ondersteunt een andere ICT-derde dienstverlener, ook als gevolg van technologiespecificiteiten;
  7. de potentiële impact van verstoringen op de continuïteit en beschikbaarheid van de ICT diensten die kritieke of belangrijke functies ondersteunen, geleverd door de ICT-derde partij dienstverlener;
  8. de moeilijkheid van het re-integreren van de ICT-dienst die cruciaal of belangrijk is functies van de externe ICT-dienstverlener;
  9. de concentratierisico's.

Artikel 2: uniform beleid in grote concerns

Vervolgens wordt in artikel 2 bepaald dat grote concerns waarbij sprake is van consolidatie zorgen dat een uniform uitbestedingsbeleid wordt gevoerd. Bij alle dochterondernemingen en op alle niveaus moeten de voorzieningen voor uitbesteding consistent zijn doorgevoerd en moeten ook steeds adequaat zijn ingericht om aan DORA te kunnen voldoen.

Artikel 3: stevige preventieve en periodieke toetsing leveranciers

In artikel 3 is een hele stevige vorm van preventieve toetsing van IT-bedrijven uitgeschreven. Wanneer de IT kritieke of belangrijke functies ondersteunt mogen deze alleen aan een derde partij worden uitbesteed wanneer vooraf is getoetst (samengevat):

  1. dat deze derde partij alle operationele en financiele processen op orde heeft om aantoonbaar na te kunnen komen;
  2. dat deze partij de financiele entiteit kan informeren en bijstaan in besluiten over uitbesteding;
  3. dat bestaande contractuele afspraken worden doorgelegd aan de “onderaannemer”;
  4. dat de onderaannemer beschikt over de middelen om na te kunnen komen;
  5. dat de financiele entiteit beschikt over de middelen om toe te kunnen zien op uitbesteding;
  6. de impact van een mogelijk falen van een onderaannemer op de levering van ICT-diensten en de mogelijkheid dan in te stappen;
  7. de risico's die verband houden met de geografische locatie van de potentiële onderaannemers;
  8. de ICT-concentratierisico's op entiteitsniveau;
  9. eventuele obstakels voor de uitoefening van audit-, informatie- en toegangsrechten.

Deze uitgebreide analyse moet volgens lid 2 bovendien periodiek worden herhaald.

Artikel 4: minimale contractvoorwaarden

In artikel 4 zijn eisen opgenomen voor de uitbestedingscontracten. In ieder contract met een ICT-aanbieder moet steeds terugkomen:

  • welke van de functies kritiek en belangrijk zijn;
  • of en zo ja welke hiervan mogen worden uitbesteed;
  • en welke voorwaarden er dan bij uitbesteding gelden.

Wanneer de functie mag worden uitbesteed, dan moet het contract minimaal aan de volgende eisen voldoen (samengevat):

  1. voortdurend toezicht door de externe ICT-dienstverlener;
  2. monitoring- en rapportageverplichtingen van de derde ICT-dienstverlener jegens de financiële entiteit;
  3. een risicobeoordeling ten aanzien van de locatie van uitbesteding;
  4. afspraken over locatie van gegevensverwerking en eigendom van data;
  5. het doorleggen van monitor- en rapportageverplichtingen;
  6. dat de primaire ICT-dienstverlener verantwoordelijk blijft, ook bij falen van de onderaannemer;
  7. dat aan alle eisen inzake incidentrespons- en bedrijfscontinuïteitsplannen wordt voldaan;
  8. de ICT-beveiligingsnormen en eventuele aanvullende beveiligingskenmerken waaraan moet worden voldaan;
  9. ten minste dezelfde audit-, informatie- en toegangsrechten als in de hoofdovereenkomst;
  10. beëindigingsmogelijkheden.

Artikel 5: vergaande monitoring

De financiële entiteit is volgens artikel 5 verplicht om bij uitbesteding van kritieke en belangrijke functies de gehele keten te monitoren en deze monitoring te documenteren, alsmede de naleving van de contractuele voorwaarden voor uitbesteding.

Artikel 6: kaders voor wezenlijke wijzigingen

In het voorgestelde artikel 6 is opgenomen dat wezenlijke wijzigingen in de contracten inzake uitbesteding alleen zijn toegestaan indien deze zodanig vroeg worden aangekondigd dat de financiële entiteit hiervan een risicobeoordeling kan maken en vervolgens alleen mogen worden doorgevoerd indien de financiële entiteit hiermee akkoord is.

Artikel 7: recht op beëindiging

In artikel 7 is vervolgens opgenomen dat de financiële entiteit de overeenkomst met de ICT-dienstverlener moet kunnen beëindigen indien deze zich niet houdt aan het kader voor wezenlijke wijzigingen of voor het inschakelen van onderaannemers.

Enkele observaties

De lat voor de uitbesteding van kritieke of belangrijke functies wordt hoog gelegd met deze RTS. Dat niet direct nieuw en is in de basis begrijpelijk (het zijn niet voor niets kritieke en belangrijke functies); tegelijkertijd roept de invulling vanuit de (concept) RTS ook wel enige vragen over evenredigheid op (terwijl evenredigheid ook een expliciete eis in DORA is).

Zo is bijvoorbeeld opvallend dat voor grote concerns er in artikel 2 per definitie een uniform uitbestedingsbeleid moet worden gehanteerd. De gedachte lijkt te zijn dat je van een (groot) concern mag verwachten dat iedere dochteronderneming op zijn minst dezelfde lat haalt. Wanneer een concern als een concern naar buiten toe optreedt lijkt dat ergens wel logisch. Het is tegelijkertijd wel de vraag of deze eis recht doet aan de diversiteit / pluriformiteit die er bij sommige concerns is. En in hoeverre dit bijv. nog ruimte biedt voor start-ups / scale-ups binnen grotere concerns.

De eisen van voortdurende toezicht en monitoring zijn vanuit de gedachte dat het hier gaat om kritieke en belangrijke functies begrijpelijk. Tegelijkertijd laat de praktijk bij veel IT-contracten zien dat het regelmatig uiterst moeizaam gaat om controle- en auditverplichtingen uit te onderhandelen. IT-bedrijven die zich richten op financiële ondernemingen zullen zodoende vermoedelijk wel even moeten wennen aan dit soort verstrekkende verplichtingen.

Sterker nog, de eisen inzake dat toezicht en monitoring (in het kader van onderuitbesteding van kritieke of belangrijker functies) gaan welhaast zo ver dat de financiële instelling de ICT-leverancier als een soort eigen dochteronderneming moet beschouwen. Er moet immers kritisch worden getoetst of die onderneming de hele bedrijfsvoering op orde heeft, over voldoende mensen en middelen beschikt om het werk te kunnen doen en bovendien of iedereen is voorbereid op eventueel falen van die ICT-leverancier. Dat veronderstelt dat je er echter ‘bovenop zit’ als financiële entiteit. Het veronderstelt ook dat je zeer veel informatie hebt en voortdurend blijft ontvangen van je ICT-leverancier. Dit roept welhaast de paradoxale vraag op dat wanneer je zoveel (transactie)kosten moet maken om je leverancier in de gaten te houden, of je het ICT-werk dan wellicht niet beter weer in huis kan nemen. En daarmee ook of het daar nu werkelijk veiliger van wordt. Hier is ongetwijfeld het laatste woord nog niet over gezegd.

Reageer tijdig op consultatie!

Hoe dan ook, het is duidelijk dat er heel wat afkomt op financiële instellingen. Gedurende de consultatieperiode kan hier nog invloed op worden uitgeoefend. Deze periode loopt tot 4 maart. Laat het gerust weten wanneer u eventueel door ons een reactie opgesteld wenst te zien.

Onderneem tijdig actie

Verder is het zaak dat financiële instellingen tijdig anticiperen op al deze eisen. Er zullen immers heel wat interne analyses moeten worden gedaan (aantoonbaar gedocumenteerd) en er zullen heel wat contracten moeten worden getoetst en vermoedelijk aangepast. Begin hier tijdig mee; iedere stap in het proces kost immers tijd. Neem bij vragen hierover gerust contact op.

Gerelateerd

Expertises

Corporate / M&A Banking & Finance Fiscaal Arbeid & Pensioen IT & Privacy IE & Innovatie Herstructurering & Insolventie Energie Zorg & sociaal domein Vastgoed Overheid & Omgeving Aanbesteding & Mededinging Aansprakelijkheid & Verzekering Litigation

Thema’s

De energietransitie Toekomstbestendige zorg Kansen en uitdagingen in de woningbouw Wendbare onderneming

Kennis

Artikelen Klantcases

Over ons

Over Dirkzwager Nieuws Nieuwsbrief Rechtsgebiedenregister