DORA: het contracteren van ICT onderaannemers
DORA: het contracteren van ICT onderaannemers
In dit artikel leest u alles wat u moet weten over de Digital Operational Reslience Act (DORA) regelgeving en de wettelijke vereisten voor het rapporteren van belangrijke incidenten en significante cyberdreigingen, inclusief de rapportageverplichtingen en -tijdlijnen.
Met de publicatie van de tweede definitieve batch RTS -en (technische regelingsnormen) zijn de kaders voor implementatie van DORA nu volledig duidelijk. Dat betekent dat gap-analyses en actieplannen geactualiseerd kunnen worden op basis van deze definitieve RTS’en. Dit artikel gaat in op de RTS met betrekking tot het contracteren van ICT dienstverleners die Kritieke of Belangrijke (‘KoB’) functies ondersteunen.
BDO helpt organisaties bij het navigeren door het steeds veranderende digitale landschap en bij het waarborgen van de integriteit en stabiliteit van de digitale activiteiten van de financiële sector. Wilt u meer weten over het uitbesteden van ICT-diensten met betrekking tot DORA? Lees dan verder in onderstaande update.
Lees meer
Met de publicatie van de tweede definitieve batch RTS -en (technische regelingsnormen) zijn de kaders voor implementatie van DORA nu volledig duidelijk. Dat betekent dat gap-analyses en actieplannen geactualiseerd kunnen worden op basis van deze definitieve RTS’en. Dit artikel gaat in op de RTS met betrekking tot het contracteren van ICT dienstverleners die Kritieke of Belangrijke (‘KoB’) functies ondersteunen.
Richtlijnen RTS
De RTS bestaat uit 8 artikelen die nadere richtlijnen geven op DORA artikel 30: belangrijke contractuele bepalingen. Samengevat behandelt de RTS de volgende onderwerpen:- Risico inschatting van de ICT onderaannemer op basis van een aantal criteria;
- Beoordeling van de ICT dienstverlener op een aantal aspecten voordat onder uitbesteding plaats mag vinden (bijvoorbeeld aanwezigheid due diligence proces en informeren van de financiële instelling voor besluitvorming);
- De contractuele voorwaarden voor onder uitbesteding door de ICT dienstverlener, zoals het monitoren van contractuele verplichtingen door de ICT dienstverlener, het voldoen aan ICT security standaarden uit de sector, audit-, informatie- en toegangsrechten voor de financiële instelling en de toezichthouder, beëindiging;
- Monitoring van de volledige ICT uitbestedingsketen door de financiële instelling en vastlegging hiervan in het informatieregister (art. 28.3);
- Het proces omtrent wijzigingen aan contracten met onder uitbestedingsorganisaties;
- Beëindiging van de overeenkomst met de ICT-dienstverlener.
Wijzigingen ten op zichte van het concept RTS
De belangrijkste wijzigingen ten opzichte van de concept RTS zijn:- De risicoanalyse dient ook in te gaan op het onder toezicht staan van de ICT leverancier en onderaannemers;
- Op het gebied van contracten zijn een aantal zaken toegevoegd, zoals:
- Rechten tot toegang, inspectie en audits zijn als expliciete criteria opgenomen;
- De verantwoordelijkheid van de ICT dienstverleners voor de diensten die door onderaannemers worden geleverd is expliciet gemaakt.
- Financiële instellingen dienen te worden geïnformeerd over materiele wijzigingen in afspraken met onderaannemers.
- De identificatie van/informatie over de uitbestedingsketen dient up-to-date te zijn over tijd om financiële instellingen in staat te stellen om het informatieregister (art. 28.3 & 28.9) te onderhouden.
Meer informatie
Neem contact op met onze experts voor meer informatie over DORA en de specifieke vereisten voor uw organisatie. Wij helpen u graag bij het uitvoeren van de impactanalyse, gap-analyse en implementatie van uw DORA-actieplan.BDO helpt organisaties bij het navigeren door het steeds veranderende digitale landschap en bij het waarborgen van de integriteit en stabiliteit van de digitale activiteiten van de financiële sector. Wilt u meer weten over het uitbesteden van ICT-diensten met betrekking tot DORA? Lees dan verder in onderstaande update.
Lees meer