Zijn uw contracten “DORA-proof”? (Monard Law)

Auteur: Clément Claesens (Monard Law)

De Verordening betreffende digitale operationele weerbaarheid voor de financiële sector is een EU-verordening (2022/2554) die op 16 januari 2023 in werking is getreden en vanaf 17 januari 2025 van toepassing zal zijn. Het gaat om de Digital Operational Resilience Act, beter bekend als DORA. Zij is van toepassing op financiële entiteiten als kredietinstellingen, betalingsinstellingen, en beleggingsondernemingen.

Deze Verordening vult een belangrijke leemte in de EU-regelgeving voor de financiële sector. Voorheen beheersden financiële entiteiten risico’s vooral door kapitaal te reserveren voor mogelijke verliezen. Dit bood echter geen volledige bescherming tegen specifieke operationele risico’s, met name op het gebied van informatie- en communicatietechnologie (ICT). De verordening onderstreept dat ICT-storingen en een gebrek aan operationele weerbaarheid de stabiliteit van het financiële systeem kunnen bedreigen, zelfs wanneer voldaan is aan de gekende kapitaalvereisten.

DORA wil ervoor zorgen dat de operationele weerbaarheid van financiële entiteiten niet enkel draait om financiële buffers, maar ook om het vermogen om ICT-storingen te doorstaan en hiervan te herstellen. Met DORA zijn financiële entiteiten dus verplicht om strikte richtlijnen te volgen om ICT-gerelateerde incidenten te voorkomen en aan te pakken. Dit omvat maatregelen voor preventie, detectie, en van beheersing van ICT-risico’s, en van herstel en reparatie van ICT-incidenten. DORA introduceert ook eisen met betrekking tot het testen van operationele weerbaarheid, en met betrekking tot het beheer van externe aanbieders van ICT-diensten.

Dit laatste is een belangrijk hoofdstuk in de DORA-Verordening, gezien financiële entiteiten doorgaans beroep doen op externe aanbieders van ICT-diensten. Zij moeten onder meer:

• toekomstige derde aanbieders van ICT-diensten zorgvuldig screenen, en beoordelen of de uitbestede diensten betrekking hebben op kritieke of belangrijke functies;
• een informatieregister bijhouden en actualiseren met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten;
• jaarlijks aan de bevoegde autoriteiten (in België de NBB en de FSMA) rapporteren over het aantal nieuwe overeenkomsten over het gebruik van ICT-diensten, de categorieën van derde aanbieders van ICT-diensten, het soort contractuele overeenkomsten en de ICT-diensten en -functies die worden geleverd ;
• garanderen dat deze overeenkomsten in bepaalde omstandigheden kunnen worden beëindigd, zonder verstoring van hun bedrijfsactiviteiten.

DORA verplicht om de overeenkomsten met derde aanbieders vast te stellen in “één schriftelijk document”. Het contract moet een aantal verplichte clausules bevatten, waaronder:

• een duidelijke en volledige beschrijving van alle door de derde aanbieder van ICT-diensten te leveren functies en ICT- diensten, met vermelding of het uitbesteden van een ICT-dienst die een kritieke of belangrijke functie ondersteunt ;
• de rechten van partijen om de overeenkomt te beëindigen en de minimumopzegtermijnen;
• de verplichting van de derde aanbieder van ICT-diensten om de financiële entiteit zonder extra kosten, of tegen een vooraf bepaalde kostprijs, bijstand te verlenen wanneer zich een incident voordoet dat verband houdt met de aan de financiële entiteit geleverde ICT-dienst;
• in geval van ICT-diensten die een kritieke of belangrijke functie ondersteunen moeten er specifieke bepalingen worden opgenomen, zoals rapporteringsverplichtingen, bepalingen met betrekking tot de continuïteit van de diensten, en beveiligingsmaatregelen.

DORA voorziet dat partijen rekening houden met het gebruik van modelcontractbepalingen die door overheidsinstanties zijn ontwikkeld voor specifieke diensten. Deze modelcontractbepalingen zullen later worden gepubliceerd.

Bron: Monard Law