Kirsten Vonk en Lars Leemeijer over de DORA en EBA-Guidelines
Kirsten Vonk en Lars Leemeijer schreven in Maandblad voor Vermogensrecht een artikel over de Digital Operational Resilience Act (DORA) en de EBA-Guidelines. Het artikel focust op praktische vragen en knelpunten die zich voordoen bij de implementatie van de DORA door financiële dienstverleners in hun bestaande en toekomstige ICT-contracten, mede gelet op de overlap en inconsistenties met de EBA-Guidelines.
De DORA vormt een belangrijke nieuwe stap in de Europese regelgeving, specifiek gericht op het versterken van de digitale operationele weerbaarheid van financiële entiteiten. Hoewel er aanzienlijke overlap bestaat tussen de DORA en de EBA-Guidelines, kent de DORA een breder toepassingsbereik en introduceert de DORA enkele nieuwe verplichtingen die van invloed zijn op zowel bestaande als toekomstige contractuele relaties tussen financiële entiteiten en ICT-leveranciers. Dit maakt dat een goed begrip van beide instrumenten en van de (nuance)verschillen tussen beide instrumenten cruciaal is om te kunnen beoordelen in hoeverre bestaande en nieuw te sluiten contracten voldoen aan de verplichtingen onder de DORA.
In het artikel komen verschillende discrepanties tussen de DORA en de EBA-Guidelines aan bod. Letterlijke overname van sommige contractbepalingen die in de EBA-Guidelines verplicht worden gesteld, betekent dat daarmee niet wordt voldaan aan de DORA, en andersom. Dit kan leiden tot handhavingsproblemen.
Echter, ook als de EBA-Guidelines volledig in lijn zouden worden gebracht met de DORA, betekent dit niet dat het voor financiële entiteiten en ICT-leveranciers eenvoudig is om te voldoen aan de regels. Terwijl de DORA diverse eisen stelt aan de inhoud van contracten, zoals bijvoorbeeld het opnemen van bepalingen omtrent permanente monitoring en penetratietests, roept de concrete uitvoering hiervan nog veel vragen op. Zo is het de vraag of pooled audits onder de DORA toegestaan zijn.
Gezien het feit dat de DORA een Europese verordening is, zal uiteindelijk jurisprudentie van het Hof van Justitie van de Europese Unie richting geven aan de interpretatie ervan. Dit zal waarschijnlijk enige tijd duren. Tot die tijd zullen financiële instellingen en ICT-leveranciers moeten opereren met enige onzekerheid.
Met de DORA is een nieuwe stap richting digitale weerbaarheid van financiële instellingen gezet, maar ‘the proof of the pudding is in the eating’.
Het volledige artikel is hier te lezen.