Voice-over: Welkom bij de Leaders in Finance Compliance Podcast. Met experts, adviseurs, bestuurders en de business bespreken we risk en compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen. Want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Cense, Deloitte, Kayak, Rabobank, en Osborne Clarke. Je host is Jeroen Broekema.
Jeroen: Welkom bij een nieuwe aflevering van de Leaders in Finance Compliance Podcast. Leuk dat je luistert. Vandaag een aflevering over DORA, en dan specifiek vanuit het perspectief van de toezichthouder – of toezichthouders in dit geval. Want wat is er nou mooier dan om zowel de Autoriteit Financiële Markten als De Nederlandsche Bank aan tafel bij mij te hebben? En dat zijn de volgende personen: Tom van de Ven van de Autoriteit Financiële Markten, welkom.
Tom: Dankjewel, dank voor de uitnodiging.
Jeroen: Leuk dat je er bent. Naast jou Peter Timmer van De Nederlandsche Bank, ook van harte welkom.
Peter: Dankjewel.
Jeroen: Leuk dat jullie er zijn. Wat ik zei, we gaan het over DORA hebben. Dus wat mij betreft duiken we er snel in, maar dat doen we niet voordat ik weet met wie ik eigenlijk aan tafel zit. Iets meer achtergrond over jullie, zodat we ook weten wie de zenders van de informatie zijn. Dus misschien, Tom, bij jou te beginnen.
Tom: Ja, mijn naam is Tom van de Ven. Ik werk bij de Autoriteit Financiële Markten, inmiddels een jaar of drie. Ik werk daar met een groep die verantwoordelijkheid op zich heeft genomen voor het toezicht op IT-risico’s bij de onder de AFM-toezicht staande instellingen. Daar komt het in grote lijnen op neer.
Jeroen:
En doe je dat al lang, de financiële sector? En wat deed je daarvoor?
Tom: Al een jaar of twintig, alles bij elkaar opgeteld, heb ik audit gedaan bij een aantal grote Nederlandse banken. Het ligt eigenlijk wel in elkaars verlengde.
Jeroen: En vanwaar de overstap naar toezicht?
Tom: Ah ja, een tijd lang heb ik in de IT-operatie zelf gezeten. Toen ben ik naar audit overgestapt. Af en toe moet je veranderen van spijs, want dat doet eten. En dit was een aardige aangelegenheid. Ik moet zeggen, ik heb er weinig spijt van.
Jeroen: Is het heel erg anders, of zit er ook nog wel veel overlap?
Tom: Het is nog echt wel anders. Wij werkten bij een interne auditdienst van een bank, waarbij je toch wel soms behoorlijk de diepte in kunt gaan op bepaalde specifieke processen of platformen. Je ziet als toezichthouder bij diezelfde type instellingen veel minder van de diepgang, maar je ziet wel stiekem veel meer. Want je kijkt natuurlijk naar alle instellingen die onder toezicht staan. Het is wat vergeleken bij elkaar: het eerste werk dat ik deed was wat meer smal en in de diepte, en nu kijken we veel meer in de breedte – en stiekem toch wel iets minder diep dan ik voorheen gewend was.
Jeroen: Ja, mooi dat je in al die keukens mag kijken. Lijkt me prachtig. Peter, mag ik jou vragen jezelf te introduceren? Om wat meer achtergrond te geven?
Peter: Jazeker. Wat betreft werk: ik werk inmiddels bijna 27 jaar bij DNB. Daarvoor heb ik gewerkt bij Ernst & Young. Ik ben ook registeraccountant van oorsprong. Bij DNB heb ik inmiddels zes, zeven verschillende functies gehad, variërend van internal audit tot betaald verkeer, tot hoofd finance. En nu dus hoofd van de afdeling IT en cyber en operationele risico’s bij toezicht. Met name dan op banken en betaalinstellingen. Wij doen dan vooral de onderzoeken. Dus wij zijn niet wat we noemen de accounttoezichthouders, die de contacten met de instellingen onderhouden, maar wij worden gevraagd om bij een instelling een diepgaand onderzoek te doen op een bepaald domein, waar men vermoedt dat het nuttig is om daar eens dieper in te duiken.
Jeroen: Je zei 27 jaar — laten we het afgerond 30 jaar noemen. Bij DNB heb je ongelooflijk veel verandering gezien, denk ik.
Peter: Jazeker. De grootste verandering was: ik kwam bij Ernst & Young vandaan, en die hadden net allemaal Apples met grafische functionaliteiten. En ik kwam bij DNB, en daar hadden we nog IBM MS-DOS. Toen moest ik leren: C, schuine streep, dubbele punt om je commando’s te geven. En gelukkig is dat na een jaar ook veranderd, want Windows kwam natuurlijk met zijn grafische interface. Zo oud ben ik al — sorry, luisteraars. Maar dat was een grote verandering. En DNB is wat dat betreft veel opener geworden, wat minder formeel. Ik vind het nu echt een hele open organisatie met korte lijnen geworden. Anders houd ik het ook niet zo lang vol natuurlijk. Dus wat dat betreft.
Jeroen: En sinds kort ben je weer terug op het Frederiksplein, waar je waarschijnlijk destijds begon.
Peter: Ja, het is van binnen onherkenbaar vergeleken met hoe het was. Als je nu binnenloopt, dan vraag je je wel eens af: wat was hier vroeger nou op deze plek? Je kunt je soms niet meer goed oriënteren op hoe het was.
Jeroen: Het is totaal anders.
Peter: Maar wel mooi.
Jeroen: Prachtig, absoluut. Dat kan ik alleen maar beamen. En misschien mag ik met jou meteen doorpraten over het thema van vandaag: DORA. Want de Digital Operational Resilience Act, daar staat het voor. Kun jij kort toelichten wat het in de basis eigenlijk precies inhoudt?
Peter: Ja, kijk, de DORA is een onderdeel van een hele range aan wetgeving die de Europese Commissie heeft uitgebracht, of nog bezig is uit te brengen, om heel veel zaken in de financiële wereld te regelen. Want we hebben DORA, maar we hebben ook MIGAR, de AI-Act, en er zijn er nog wel meer, zoals FIDA. Het is een heel pakket aan regelgeving dat de Europese Commissie de afgelopen jaren heeft opgestart. En DORA is daar ook een heel belangrijk onderdeel van. Het belangrijkste doel van DORA is om de financiële sector, en misschien nog een paar aanpalende sectoren — die ik even niet zo scherp heb —
Jeroen: Cruciale techpartijen.
Peter: Dat zit voor mij al bijna in mijn hoofd als onderdeel van de financiële sector, omdat we er zo van afhankelijk zijn. Maar het doel is om die allemaal op dezelfde norm te krijgen qua cyberweerbaarheid, qua operational resilience. Omdat we natuurlijk allemaal hebben gezien dat dat een van de grootste risico’s en uitdagingen is voor al die automatiseringsfabrieken — wat financiële instellingen inmiddels toch zijn geworden. Om dat in heel Europa op hetzelfde niveau te krijgen. En ook een level playing field: dat iedereen dezelfde normen opgelegd krijgt. Waarbij het voorheen nog wel behoorlijk nationaal geregeld kon worden, en dus van elkaar afwijkend kon zijn. Ik ben echt groot voorstander van DORA om dat nu te creëren. Bovendien: de invoering van DORA op zich creëert al een heleboel beweging, awareness, momentum, zeg maar. Overal zie je mensen weer flink aan de slag gaan, of nog meer doen. Dus alleen dat al is wat mij betreft al een pre.
Jeroen: Mooi, mooie introductie. Want Tom, het woord dat ik constant tegenkom bij DORA is resilience. Weerbaarheid in het Nederlands, correct?
Tom: Dat klopt. Ik ben het helemaal met Peter eens. Ik denk dat het uiteindelijke doel is om de cyberweerbaarheid te verhogen. Maar de grap is natuurlijk dat harmonisatie daar eigenlijk een heel groot onderdeel van uitmaakt. Want in de basis is cyber een onderwerp waarop je je eigenlijk niet wilt onderscheiden of concurreren. Cyberweerbaarheid is natuurlijk ook een kwestie van de zwakste schakel. En dus wil je eigenlijk proberen om alles op hetzelfde niveau te krijgen, en daarmee het geheel te versterken. En dat is precies wat DORA beoogt. Ik denk dat dat een belangrijke reden is dat ze DORA hebben vormgegeven als een verordening en niet als een richtlijn.
Jeroen: Ja, want het verschil is?
Tom: Een verordening is een Europese wet. Voor de niet-juristen onder ons, onder de luisteraars: iets wat vanuit Europa wordt uitgevaardigd en direct in alle lidstaten geldt. Terwijl richtlijnen nog nationaal moeten worden geïmplementeerd in de wetgeving.
Jeroen: En wanneer je het hebt over harmoniseren, dan heb je het met name over die hele keten. Want je noemt ook de zwakste schakel. Dus het gaat om die hele keten. Bedoel je dat met harmoniseren?
Tom: Nee, met harmoniseren bedoel ik eigenlijk meer de harmonisatie die Peter ook al kort benoemde. We zitten natuurlijk met 27 lidstaten. En voor DORA was er natuurlijk – wildgroei is misschien een verkeerd woord – maar er was echt wel grote diversiteit in de verschillende landen over hoe die omgingen met wetgeving voor instellingen, waaronder financiële instellingen op het gebied van die cyberweerbaarheid. En doordat het nu Europees breed geregeld is, heb je dus gewoon in heel Europa eigenlijk dezelfde meetlat, zou je kunnen zeggen. Dezelfde normstelling.
Jeroen: Waarbij je dus impliceert dat dat ervoor zorgt dat het laagste niveau wat verder omhoog gaat. En misschien dat het middenniveau nog hoger komt. Maar in ieder geval dat het laagste punt hoger komt te liggen.
Tom: Dat sowieso, ja.
Jeroen: En ik haalde dus even aan: de keten. Omdat ik dacht dat daar de harmonisering ook over ging. Maar die keten is wel cruciaal, denk ik, in die weerbaarheid. Omdat er zoveel uitbesteed wordt.
Tom: Zeker. Uiteraard. Juist vanwege die uitbesteding inderdaad. Veel instellingen – dat is ook de gewoonte geweest van de afgelopen decennia eigenlijk – beseffen veel financiële instellingen. Ook veel van hun diensten zijn als commodity uitbesteed, in sommige gevallen. En niet in alle gevallen is er even goed zicht gehouden op die uitbestedingen en de risico’s die ermee samenhangen. En door de invoering van DORA, en de hele nadrukkelijke aandacht die er is voor de uitbestede diensten en het toezicht daarop, zie je dus eigenlijk dat DORA instellingen helpt om dat overzicht weer te krijgen. En daar gewoon actief mee aan de slag te gaan, voor zover dat nog niet het geval was.
Jeroen: Klinkt alsof je het met Peter ook eens bent op zijn punt dat je groot voorstander hiervan bent.Van deze wetgeving?
Tom: Absoluut.
Jeroen: Wat is jouw hoofdargument dat je hier heel blij mee bent?
Tom: Ik denk dat ik wat dat betreft ook dezelfde argumenten zou aanhalen als die Peter aanhaalt. Het verhogen in brede zin, mede door het harmoniseren van die wetgeving op Europees niveau, is denk ik echt wel een verworvenheid. En tegelijkertijd ook: er was ook onder de instellingen misschien zelf nog wel verschil in verstandhouding. Ik denk dat ook veel – misschien wat kleinere – instellingen, die cyber wat minder hoog op de agenda hadden staan dan de grote instellingen, ook mee kunnen profiteren van de norm die hier wordt gezet.
Jeroen: Ja, want uiteindelijk vallen alle financiële instellingen onder DORA. Alle inmiddels bestaande instellingen.
Peter: Ja, dus om het even: de grote sectoren – banken, pensioenfondsen, verzekeraars, beleggingsondernemingen.
Tom: Ja, beleggingsinstellingen, kapitaalmarktpartijen.
Peter: Die vallen nu in de volle breedte allemaal onder DORA. En moeten daar dus allemaal aan voldoen.
Jeroen: En daarnaast dus nog andere partijen.
Tom: Ja, dat is het oversight framework. Dat noemde je net al even kort. DORA is eigenlijk voor het eerst – tenminste voor zover ik me kan herinneren – een Europese wet die ook de grote, kritieke derde partijen, aan wie veel van de financiële instellingen delen van hun diensten hebben uitbesteed, onder toezicht plaatst. Het is niet hetzelfde toezicht; het is een oversight framework. Het is anders, want financiële instellingen hebben een vergunning, bijvoorbeeld om te kunnen opereren in landen via de toezichthouders. Dat hebben de grote techbedrijven natuurlijk niet.
Jeroen: Maar als het dus eigenlijk om de hele financiële sector gaat, en dan nog meer, dan gaat het om ongelooflijk veel instellingen. Jullie hebben natuurlijk honderden grote, en dan duizenden, duizenden kleine. Hoe ga je dat – nu even vanuit jullie perspectief bekeken – coördineren? Nog even los van de klant, tussen aanhalingstekens ‘jullie onder toezicht staande instellingen’. Maar vanuit jullie perspectief: een enorme operatie, of niet?
Tom: Het is een enorme operatie. We zitten bij de AFM, waar we overigens echt duizenden instellingen onder toezicht hebben. Het zijn natuurlijk niet allemaal toestellen – het moet wel een zekere omvang hebben voordat je voor DORA in aanmerking komt. Maar we hebben er bij de AFM een kleine 400. Dat is best een flinke bak.
Jeroen: En voor DNB? Weer een vergelijkbaar getal?
Peter: Nou, ik weet het voor banken, en daar kom ik wel een heel eind. Om een voorbeeld te geven: de grote banken, de grotere banken die onder het Europese toezicht vallen en waar wij ook aan meewerken, dat zijn er ongeveer 110. En dan heb je nog de kleinere. Dat is Europees breed, dus dat lijkt nog te overzien. Maar je hebt natuurlijk nog de kleinere banken overal nationaal. In Nederland zijn dat er ongeveer 20 of 25 die onder toezicht staan. Maar in andere landen bijvoorbeeld zijn de aantallen enorm – in Duitsland met veel van zijn Landesbanken. En dan heb je natuurlijk bij DNB nog de pensioenfondsen en de verzekeraars, en de betaalinstellingen. Daarvan weet ik niet precies hoeveel, maar dat zijn er echt tientallen, honderden.
Jeroen: Dan wordt die wetgeving gelanceerd in fases en langzamerhand. En er komt straks waarschijnlijk nog meer bij. Dat komt dan op jullie af. Hoe coördineer je dat nou? Want ik lees dus over DORA, en dan heb je het over de Europese toezichthouders, dan heb je het over de nationale toezichthouders. Maar hoe coördineer je dat allemaal? En wie doet dan eigenlijk wat? (Kijkt naar beiden.) Dat is gevaarlijk – dat is leuk voor een coördinatievraag. Kijken hoe dat gaat.
Tom: Ik kan er wel wat over vertellen. We realiseren ons, Peter net zo goed als ik, dat de uitdagingen die DORA met zich meebrengt voor de sector natuurlijk immens zijn. En als je nu al kijkt naar de inspanning die moet worden gepleegd om dat register of information – we komen er denk ik straks nog even op terug – om dat aan te leveren, dat is natuurlijk echt substantieel. Maar ook de toezichthouders hebben er best aan moeten trekken. Bij de AFM hebben we een programma gedraaid, dat tweeënhalf jaar heeft geduurd. Wij zijn verdubbeld in omvang wat betreft het aantal toezichthouders op DORA-gerelateerde aspecten: van pakweg tien, twaalf man naar twintig, vijfentwintig man. Dus dat is voor ons best wel een… En alle dingen die nog origineel moeten worden ingeregeld, maar ook technisch: we hebben portalen moeten inrichten. De DORA-app hebben we toegevoegd aan het portaal van de AFM, waar instellingen straks hun registers kunnen aanleveren. En waarin we straks ook nog… daar komen we misschien ook nog op, over de Threat-Led Penetration Testing.
Jeroen: Beide, zeker.
Tom: Er zitten allemaal toezichthouders die de meldingen ontvangen die DORA-instellingen moeten gaan doen: de meldingen van incidenten, de meldingen van voorgenomen uitbestedingen. Dat zit ook bij ons.
Jeroen: Deze dingen staan allemaal op mijn lijstje, om straks nog wat vragen over te stellen. Het zijn mooie haakjes voor straks. Maar even terug naar de initiële vraag: hoe coördineer je dat? Zitten jullie dan allemaal zelf het wiel uit te vinden? Want ik kan me voorstellen, deze organisaties – die 370 bij jou en iets van 270 bij jou – vallen onder mij, dus ik ga hen op mijn manier aanschrijven. Of ga je dan samen in een werkgroep zitten, of zit dat samen met de ESA’s? Ik ben benieuwd naar die coördinatie. Hoe werkt dat?
Peter: We doen het inderdaad samen, DNB en AFM. We hebben het een regiegroep genoemd, waar Tom in zit, waar ik ook in zit, en nog andere mensen die betrokken zijn bij het DORA-traject. Dus het is een gezamenlijke groep van DNB en AFM. Daar worden eigenlijk alle stappen die we intern moeten zetten – dus de voorbereiding die we bij DNB en AFM zelf moeten doen – gecoördineerd, besproken en afgestemd. Maar ook de afgelopen tweeënhalf, misschien wel drie jaar, zijn al die DORA-teksten, de onderliggende RTS’en, opgesteld.
Jeroen: RTS’en, dus Regulatory Technical Standards?
Peter: Ja, dat is eigenlijk een nadere uitwerking van de hoofdtekst van DORA. De Europese Commissie heeft ook gevraagd om een aantal onderwerpen aan de ESA’s – die gaan we zo meteen waarschijnlijk nog uitleggen, European Supervisory Authorities – om dat te doen. En die hebben vervolgens allemaal aan de nationale toezichthouders gevraagd om daaraan mee te helpen. Dus mensen van mijn team en van Tom’s team hebben ook in diverse werkgroepen op Europees niveau gezeten, om mee te schrijven aan de teksten van die RTS’en. Maar dat betekende ook dat wij onderling, als er specifieke punten waren waar een besluit over moest komen – hoe gaan we dat in de RTS opnemen, zijn we het daarmee eens – dat wij die eerst met elkaar bespraken, voordat we het op Europees niveau inbrachten.
Jeroen: Ja, want jij had al even aan Tom… Dat is wel heel helder, Peter, maar dat register of information — is het dan zo dat jij uiteindelijk precies hetzelfde uitvraagt als wat Peter uitvraagt van het DNB?
Tom: Ja, dat wordt allemaal voorgeschreven door de RTS.
Jeroen: En dat is in al die landen?
Tom: In al die landen is dat hetzelfde. Allemaal moeten ze hetzelfde register aanleveren, met allemaal dezelfde overzichten van de contracten die ze met derde partijen hebben, met al die honderd punten ongeveer per contract. Ja, het is echt een operatie van jewelste.
Jeroen: En wat doen die Europese toezichthouders? Jij zei het al even — ik zal het even opsommen: de ESMA, de EBA en de EIOPA. Dus EIOPA voor de verzekeraars en pensioenfondsen, EBA voor de banken, en de ESMA — zeg maar de AFM op Europees niveau, om even mijn bewoordingen te gebruiken, zo uit mijn hoofd. Wat is hun rol dan precies?
Tom: In het register bedoel je?
Jeroen: Nou ja, of nog breder? Gewoon met DORA versus wat jullie doen?
Tom: Nou, de ESA’s hebben destijds vanuit Europa de opdracht gekregen om, nadat de hoofdtekst van DORA was uitonderhandeld in Brussel, alle RTS’en samen te stellen. En dat hebben ze gedaan in samenwerking met de 27 lidstaten. Wat er gebeurd is, is eigenlijk dat er een aantal teams is samengesteld die allemaal een deel van de RTS en de ITS op zich hebben genomen. En die hebben dat uitgewerkt. En de ITS is de Implementation Technical Standard. Dus dat is een wat meer praktijkgedreven variant van de RTS, zou je kunnen zeggen. In die werkgroepen hebben toezichthouders uit alle 27 lidstaten geparticipeerd. Dus inderdaad hebben ook collega’s van mij en van Peter in die werkgroepen samen opgetrokken om de wetteksten mee te helpen opstellen. Soms vanuit een Europees perspectief, maar soms ook vanuit een Nederlands perspectief. Waarbij Nederland — de vertegenwoordigers van De Nederlandsche Bank en de AFM — dan ook samen hebben bekeken: goh, hoe zouden we hier nog invloed kunnen uitoefenen om een bepaald element in de RTS op te nemen of juist weg te laten?
Jeroen: En dan zien toezichthoudende instellingen al jaren aankomen dat deze wetgeving gelanceerd gaat worden. Delen worden al deels gelanceerd. En het is, geloof ik uit m’n hoofd, op 17 januari officieel in werking getreden. Dus dan is iedereen klaar met informatie aanleveren, neem ik aan?
Tom: Dat is wat we allemaal van harte hopen, ja.
Jeroen: Want jullie zijn toen begonnen met uitvragen, of veel eerder?
Tom: Nee, de uitvragen voor het register dan specifiek — die moeten allemaal worden aangeleverd eind april bij de ESA’s. En we zijn begonnen met de uitvragen: de AFM in februari, en De Nederlandsche Bank in…
Peter: Nu ongeveer. Althans, we hebben de portals nu opengesteld, zodat ze hem kunnen…
Tom: Zowel de AFM als de DNB hebben dus voor hun eigen onder toezicht staande instellingen de portalen opengezet om die registers aan te leveren. En de registers moeten, zowel DNB als AFM, worden aangeleverd in Europa tegen eind april, ja.
Jeroen: Maar dan toch een beetje flauw om even te prikken op die samenwerkingscoördinatievraag. Dan zou ik zeggen: doe dat allemaal tegelijk.
Peter: We hebben natuurlijk allebei onze technieken en portals om informatie uit te wisselen met de onder ons toezicht staande instellingen. Je kunt natuurlijk een soort gezamenlijke portal maken en het dan in één keer doen. Maar we hebben nu — het is ook net zo efficiënt — de bestaande functionaliteiten, waarop de banken bijvoorbeeld, in mijn geval, ook zijn ingesteld. Hoe ze dingen moeten uploaden en naar ons moeten sturen. Om die gewoon weer te gebruiken, maar dan voor dit specifieke…
Jeroen: En bijvoorbeeld een bank valt natuurlijk bijna per definitie volgens mij onder jullie beiden, verschillende onderdelen. Je hoeft dat dan maar één keer aan te leveren, of moeten ze dat bij beide aanleveren?
Peter: Ja nee, in principe moeten ze het één keer aanleveren. Dus het is wel duidelijk wie de toezichthouder is, of de hoofdtoezichthouder — hoe je het ook precies noemt. En daar leveren ze het aan. Wat wel lastig is, voor onszelf maar ook met name voor de instellingen, is als je grotere conglomeraten hebt, zeg maar, om te bepalen welk consolidatieniveau en de dochters, enzovoort. Dat is ook allemaal uitgewerkt in die RTS’en, maar dat is soms toch lastig.
Jeroen: Ja, dat kan ik me helemaal voorstellen, met dochters en subsidiaries.
Peter: Dus daar worden ook al vragen over gesteld, maar het uitgangspunt is wel: één keer aanleveren.
Jeroen: Ja, ook Europees breed, als je in heel veel landen zit.
Voice-over: Je luistert naar de Leaders in Finance Compliance Podcast.
Jeroen: Het lijkt me machtig mooi om bij zo’n ESA te zitten. En je krijgt vanuit al die landen ontzettend veel rijkdom aan informatie. Je hebt eigenlijk een beeld van de hele Europese Unie. Als het gaat om alle verbindingen — dat is ongekend veel informatie.
Tom: Ja, dat kun je goed zeggen.
Jeroen: Wat gaan ze daar allemaal mee doen?
Tom: Nou, het doel is eigenlijk vrij eenduidig. Het is namelijk bedoeld om inzicht te krijgen in wat nu feitelijk de grootste kritieke derdepartijproviders zijn voor de financiële instellingen in Europa. En die worden dan volgens ons meegenomen in het Dora Oversight Framework, wat ik je net vertelde. Het is dus eigenlijk bedoeld om te bepalen wat de meest risicovolle partijen zijn, zodat we onderbouwd kunnen zeggen welke partijen onder Europees toezicht zouden moeten komen te staan.
Jeroen: En wil je uiteindelijk de toezichthouder als één geheel gaan waarschuwen, bijvoorbeeld als ze bepaalde concentratierisico’s zien?
Tom: Hoe het DORA Oversight wordt ingericht, de contouren beginnen langzaam duidelijk te worden. Maar hoe het precies zal plaatsvinden, welke onderzoeken er uitgevoerd gaan worden en wat de terugkoppeling zal zijn naar de instellingen, wordt volgens mij nog hard aan gewerkt.
Jeroen: Ik begreep van jouw website, Tom, dat er eigenlijk een scheiding komt tussen thematische onderzoeken en onderzoeken die specifiek gericht zijn op één instelling.
Tom: Ah ja, dat klopt. Maar dat zijn dan de onderzoeken die we doen bij de direct onder toezicht staande instellingen.
Jeroen: Maar ik ben er ook even over aan het nadenken: je gaat dus uiteindelijk op die manier onderzoek doen, of per instelling of per thema.
Tom: Ja, dat klopt.
Jeroen: Dat zou voortkomen uit de enorme hoeveelheid informatie, waarin mogelijk verbanden worden gezien, ook Europees breed, zodat je niet alleen naar Nederland kijkt.
Tom: Nou ja, alle toezichtsactiviteiten die we doen, doen we risico-gestuurd. Als er signalen zijn die wijzen op een bepaald risico in een bepaalde hoek, bij een bepaalde sector of bij een bepaalde instelling, kan dat aanleiding zijn om toezichtsactiviteiten te starten. Het lijkt me dan vanzelfsprekend dat als er concentratierisico’s uit de registers naar voren komen, deze gebruikt kunnen worden als signaal voor het richten van je risico-gestuurde toezicht.
Jeroen: Ja, dat klinkt logisch.Wil je iets toevoegen, Peter?
Peter: Nou ja, je had het over de informatierijkdom van die registers, die nu vooral gebruikt worden voor de ESA’s, om te bepalen wie onder hun toezicht gaan vallen, en welke derde partijen. Maar het is natuurlijk ook zeer interessante informatie voor ons als toezichthouder. Bijvoorbeeld, we kunnen nu zien, als we op nationaal niveau voor de Nederlandse partijen dat beeld hebben, en er gebeurt een incident, dan kunnen we snel zien welke partijen mogelijk geraakt worden. Want we kunnen uit die overzichten of analyses zien, bijvoorbeeld, dat ongeveer 30% van onze instellingen bij deze provider zit, en als die provider een probleem heeft, kunnen we gerichter gaan kijken naar de betekenis daarvan. Dus we kunnen nu veel sneller handelen.
Jeroen: Zou je dat ook mogen delen, want het kan heel specifieke informatie zijn?
Peter: Eerlijk gezegd weet ik dat op dit moment nog niet. Als je het mij persoonlijk vraagt, zou ik dit soort informatie wel willen delen, maar dan op een zodanig niveau dat het niet herleidbaar is tot…
Jeroen: Nee, maar op een bepaald moment zou je ook kunnen zeggen, even voor de discussie, we zien dat een bepaalde provider van bijvoorbeeld datalocaties voor 20 miljoen klanten in Europa, een lek heeft. Eigenlijk willen we gewoon zeggen: die persoon of die partij, ik noem maar wat, die partij is een probleem en dat betekent dat deze 120 instellingen ook een probleem gaan krijgen.
Peter: Oké, sorry, je hebt het over een specifiek incident. Maar juist bij een incident kunnen wij inderdaad veel sneller de kanalen die we daarvoor hebben inschakelen en daarmee in overleg treden. Bijvoorbeeld, we hebben in Nederland de ISAC’s, de FI-ISAC’s, de P-ISAC en de V-ISAC’s. En dat zijn? Voor de banken en betaalinstellingen, voor de pensioenen en verzekeraars. En die ISAC’s zijn eigenlijk vertrouwensgemeenschappen, die zijn ooit volgens mij door de NCSC bedacht of in het leven geroepen. En als je op de website van de NCSC kijkt, zie je ook hoe je zo’n vertrouwensgemeenschap zou kunnen opzetten en wat je allemaal kunt regelen. Die hebben ze al een tijdje bestaan voor de grotere sectoren die ik net noemde. En daar zitten eigenlijk de mensen, ik noem ze maar de security mensen, en de CISO’s van instellingen bij elkaar en delen daar heel snel incidenten. Maar ook de NCSC zit er volgens mij zelf bij, wat ook gedeeld wordt. Dus het is een heel belangrijk gremium, een vertrouwensgemeenschap, waarbinnen gevoelige informatie over incidenten wordt gedeeld. Omdat wij in Nederland in principe het uiterste punt hebben dat je niet wilt concurreren op beveiliging. Je wilt gewoon elkaar helpen en samenwerken. En stel, wij zien iets door die inzichten die we hebben op basis van het register of informatie. Wij zien iets gebeuren. Dan kunnen wij ook snel binnen die gemeenschappen reageren.
Jeroen: Want dan word je echt weerbaarder. In ieder geval in reactie. Je wilt het liever voorkomen, natuurlijk. Weerbaarheid gaat in principe over preventie, maar uiteindelijk ook om de weerbaarheid om te acteren. Als de hele financiële sector in Europa onder druk staat, dan willen jullie wel in actie komen. Nog één vraag over dat register, want dat is wel interessant. Kunnen jullie mij een gevoel geven bij wat er nou aangeleverd moet worden? Gaat het over tientallen of honderden datapunten of duizenden? Kun je me een beeld geven van wat er nou aangeleverd moet worden? Of wat voorbeelden van datapunten?
Tom: Het hangt echt samen met de omvang van de onderneming. Met de complexiteit van de onderneming, denk ik. Er zit een breed spectrum aan variëteiten in. Sommige instellingen zijn met een handvol contacten klaar. Andere leveren Excel-sheets aan, waar letterlijk honderden contacten in staan opgenomen. Dat kun je ook zien. Per contract worden er ongeveer honderd datapunten opgeleverd. Dat zijn spectaculaire hoeveelheden informatie.
Jeroen: We hebben het allemaal over third-party suppliers.
Tom: Dat zijn allemaal de third-party suppliers en de lagen daaronder. De onderuitbestedingen dienen ook daarin opgenomen te worden. Het is belangrijk dat de instellingen niet alleen inzicht hebben in wat ze uitbesteed hebben, maar ook aan wie de uitbesteedde partijen hun diensten vervolgens hebben onderuitbesteed.
Jeroen: Het is best een onderzoeksklus. Of hebben de meeste instellingen dat grotendeels al geregeld?
Tom: Je zou hopen en wellicht ook verwachten dat dat voor het grootste deel op orde is. Maar ik denk dat de confrontatie met zo’n register en de honderd datapunten per regel die je moet aanleveren, voor sommige instellingen best een uitdaging is geweest.
Jeroen: Ik kan me dat wel voorstellen, maar dit is maar een suggestie hoor, ik wil je niks in de mond leggen, maar ik kan me voorstellen dat je bijvoorbeeld als bank, verzekeraar of persoon iets hebt uitbesteed waarvan je denkt dat het gewoon honderd procent bij die partij ligt, bijvoorbeeld een hosting. Maar dan blijkt die partij dat weer deels doorgehost te hebben ergens anders, ik noem maar wat.
Tom: Exact.
Jeroen: Terwijl je dat ook maar net moet ontdekken, en dat moet dan in de contracten staan.
Tom: Ja, maar het grappige is, dit is natuurlijk wel de manier om eruit te komen. De instellingen die onder ons toezicht staan, hebben hun diensten uitbesteed en misschien nooit kennisgenomen van de onderuitbestedingen, en zijn zich eigenlijk helemaal niet bewust van het feit dat risico’s op andere plekken liggen dan ze zelf hadden verondersteld. Dit is natuurlijk het mechanisme waarbij dit soort zaken boven water komen. En in die zin is het ook een prettig stimulerende exercitie, zou ik zeggen.
Jeroen: Ik moet ook denken aan andere wet- en regelgeving, waar het vaak begint met eerst informatie uitvragen, bijvoorbeeld rondom de CSRD, de sustainability wetgeving. Maar op een bepaald moment is dat vaak nog een actie van, nou mijn woorden maar, check the box. We verzamelen alle informatie, dan is het er. Maar wat je uiteindelijk wilt, is natuurlijk dat je daadwerkelijk, misschien risk-based, maar in ieder geval gaat kijken waar de grootste risico’s voor de instelling liggen, en daar op acteren. Daar zijn we nu nog niet, we zitten nu nog in de fase van informatie verzamelen.
Peter: Ja, kijk, een instelling, en dat werd al eerder genoemd, werd al geacht zijn risico’s van de uitbesteding goed te managen. Dus ik denk zeker dat men per contract al risico’s heeft gemanaged en dat het niet nieuw is om alleen maar informatie te verzamelen. Wat DORA nu wel met zich mee zal brengen, in ieder geval bij de toezichthouders, is een meer totaalplaatje. Maar aan de andere kant, als een instelling deze exercitie voor zichzelf heeft gedaan, dus echt al die datapunten heeft verzameld voor het register, krijgt hij of zij misschien ook een breder inzicht dan men voorheen had.
Jeroen: Maar misschien moet hij daarna ook actie ondernemen, want hij komt misschien wel achter dingen waar hij of zij van schrikt.
Peter: Ja, dat zou kunnen, want als je ergens opeens weer veel extra aandacht aan besteedt, kom je vast wel dingen tegen waarvan je denkt: oeh, dat is misschien toch niet zo handig, daar moeten we iets mee doen. Dat was ook een van de redenen waarom ik in het begin zei dat de invoering van DORA, of zelfs de aankondiging ervan, al beweging teweegbrengt. Ja, dat snap ik.
Jeroen: En jij noemt de banken, waar binnen die banken wordt dit meestal belegd? Is dit bijvoorbeeld het vullen van het register of informatie? Uiteindelijk zijn het de CISO’s die je noemt, de cybersecuritymensen, of ligt het uiteindelijk in de CRO-kolom, of in compliance, of in de tweede lijn? Waar moet ik het zoeken?
Peter: Ik durf daar niet een eenduidige uitspraak over te doen, wie het bij de banken doet. Dat zal waarschijnlijk heel verschillend zijn, afhankelijk van de omvang en de manier waarop ze georganiseerd zijn. Ik heb zelf altijd, en leg altijd voor mezelf, ook een link met wat banken of instellingen überhaupt in het kader van goed IT-riskmanagement al behoorlijk op orde moeten hebben: een goede configuratiemanagementdatabase (CMDB). Daarin moeten ze al een goed overzicht hebben van hun gehele infrastructuur, hun software, enzovoort, inclusief wat ze aan derden hebben uitbesteed. Ik kan me voorstellen dat daar veel informatie vandaan komt, maar wie het uiteindelijk binnen zo’n bank bij elkaar brengt en coördineert, zal, vooral bij een grote instelling, uit heel veel plekken binnen zo’n organisatie komen. Wie het uiteindelijk bij elkaar brengt, verschilt echt per instelling.
Jeroen: En wanneer moeten ze het allemaal bij jou hebben ingeleverd?
Peter: Even kijken, ze hebben nu tot ongeveer half april de tijd bij ons om het in te leveren, het bestand. En wij moeten het dan eind april zorgen dat het bij de ESA’s ligt.
Tom: Dan moet je nog even geruststellen, bij de AFM is dat hetzelfde. Half april sluiten bij ons de portalen en inderdaad, ook op last van Europa, leveren we alles aan per eind april.
Jeroen: En als je niet op tijd bent?
Tom: Als je niet op tijd bent, dan ben je niet op tijd. Persoonlijk ben je ingebreken.
Jeroen: Ga je dan meteen boetes opleggen of eerst een brief sturen?
Tom: Ik denk dat veel instellingen niet van ons gewend zijn dat we met zo’n gestrekt been binnenkomen. En we zijn ons ook bewust van de uitdagingen die hier liggen. Als er instellingen zijn die het register niet op tijd hebben aangeleverd, dan denk ik dat de logische vervolgstap het goede gesprek is. Wat zijn de achterliggende redenen? Wat zijn de plannen van de instellingen om tot een goed register te komen? In dat opzicht verandert er niet zoveel ten opzichte van de praktijk zoals we die vroeger hadden.
Jeroen: Nee, en ik kan me ook voorstellen dat het bij banken of grote financiële instellingen waarschijnlijk om honderden, misschien wel meer, leveranciers gaat. En je zei honderd punten per leverancier, dat zijn gigantisch veel. Ik kan me voorstellen dat je hier en daar nog wel eens wat mist of dat je nog aan het wachten bent op informatie.
Tom: Dat klopt. En daar zijn de ESA’s ook duidelijk over geweest. Ze hebben gezegd: kwaliteit boven kwantiteit. Dus liever de regels helemaal compleet aanleveren dan grote gaten in de registers aantreffen.
Jeroen: Ja, want de hele toeleveranciersindustrie, om het maar zo te noemen, moet ook hard aan de slag. Want uiteindelijk leggen de financiële instellingen het weer bij hen neer, natuurlijk. En de contracten zullen vaak aangepast moeten worden.
Tom: Dat klopt. En dat klopt in de geluiden die je uit de sector hoort. Je zei ook dat lang niet al die leveranciers even gemotiveerd zijn om die medewerkers te leveren. Dat is best wel een uitdaging voor ze.
Jeroen: Misschien zeker, ik weet het niet, maar in deze geopolitieke situatie, waar ook nog veel dingen in Amerika liggen, is het misschien nog wel lastiger.
Tom: Dat maakt het echt niet eenvoudiger.
Jeroen: Tom, ik wil specifiek nog even inzoomen op die TLPT’s die hij eerder al agendeerde tijdens dit gesprek. De zogenaamde Threat-Led Penetration Testing. Wat is dat precies? Want het komt overal terug.
Tom: Die Threat-Led Penetration Testing is echt iets fantastisch. De Nederlandse instellingen, die vallen onder de AFM en de DNB, zijn al gewend aan het faciliteren van de zogenaamde TIBER-testen. Bij de TIBER-testen worden instellingen die onder toezicht staan, uitgenodigd om een derde partij in te huren, gecertificeerde hackers, om te kijken of ze in kunnen breken in de infrastructuur van die instellingen. Die instellingen doorlopen vervolgens zo’n test. Het mooiste moment van de testen is eigenlijk op het moment dat die gecertificeerde hackers samen met de instellingen de scenario’s die doorlopend worden aangespeeld, nog een keer doornemen, om te kijken: wij deden toen dit, jullie reageerden toen zo, en op die manier leren ze van elkaar. In het DORA-raamwerk is de succesvolle TIBER-test geadapteerd als een instrument voor die Threat-Led Penetration Testing. En even goed om te noemen, niet alle DORA-instellingen zijn ook daadwerkelijk TLPT-plichtig. De toezichthouders zullen een aantal van de grotere en meer risicovolle partijen aanwijzen voor die TLPT-verplichtingen. Dat gebeurt waarschijnlijk in de loop van dit jaar nog. En die instellingen zijn dan degenen die met die testen van start gaan.
Jeroen: En hiermee is het dus wel echt een verplichting geworden?
Tom: Op dat moment is het een verplichting geworden. En die verplichting houdt in dat deze testen periodiek moeten worden doorlopen. De instellingen mogen dat zelf doen, met interne testen. En eenmaal in de drie jaar is het standaard schema, volgens mij, dat ze een externe partij inhuren om zo’n test uit te laten voeren, waarbij de toezichthouders direct betrokken zijn.
Peter: Ja, over de instelling naast deze, laten we zeggen, verplichte TLPT-test, die minimaal één keer in drie jaar moet worden uitgevoerd. Overigens kan de toezichthouder verlangen dat deze extra wordt uitgevoerd als er bepaalde zorgen zijn. Daarnaast worden alle instellingen geacht na te denken over een testprogramma. Dat hoeft dan niet per se een zware TLPT-test te zijn, maar er zijn diverse vormen van testen die je kunt uitvoeren. Het is misschien ook goed om te vermelden dat ook in Nederland, in ieder geval bij DNB, het zogenaamde ARD-framework bestaat, waar je verschillende gradaties van testen hebt, afhankelijk van de omvang en volwassenheid van een instelling op dat gebied. Dus je kunt daar zelf naar kijken om te bepalen welke testen passend zijn voor jouw instelling en hoe je een goede test uitvoert die daadwerkelijk verder helpt.
Jeroen: Duidelijke uitleg. Aan het einde van deze podcastaflevering wil ik met jullie even kijken naar de toekomst. Want we zijn officieel van start gegaan. We hadden het al over 17 januari. Waar gaat DORA naartoe? Wat zijn voor jullie belangrijke vervolgmomenten of andere dingen die je wilt delen over de toekomst van DORA en alles wat te maken heeft met risico in de IT-sfeer voor de financiële sector?
Peter: Nou, daar moeten we even over nadenken.
Tom: Bij de AFM gaan we toezicht houden op de manier zoals we dat al deden, maar dan intensiever. We hebben thematische onderzoeken die we gepland hebben. Deze zijn meer afgestemd op de thema’s waar DORA ook uit bestaat. Ze kunnen binnen de sector vallen waar de AFM toezicht op houdt, bijvoorbeeld kapitaalmarktpartijen of asset management. Soms kunnen ze ook meerdere sectoren bestrijken. Een DORA-onderwerp kan dus meerdere thema’s bevatten. Dat is waar we mee starten. Het TLPD, waar ik al over sprak, is iets dat van start gaat. In 2026 wordt verwacht dat ook het DORA-oversight in Europa van start gaat. Dat gaat een grote inspanning vergen. Natuurlijk moeten we nu nog zorgen dat de nodige registers op tijd worden aangeleverd bij de Europese toezichthouders.
Jeroen: Ja, ik kan me voorstellen dat onder toezicht staande instellingen zitten te zweten om het allemaal op tijd bij jullie te krijgen. Maar jullie zitten misschien ook te zweten om het op tijd bij die ESA’s te krijgen.
Tom: Het is een dubbelzwete klus. Ja, het is best een klusje.
Jeroen: Peter heb je nog toevoegingen als je kijkt naar de toekomst? Wat zijn belangrijke momenten of dingen die jij aan de horizon ziet?
Peter: Nou, waar ik zelf nog wel nieuwsgierig naar ben, is wanneer we als hele financiële sector, inclusief toezichthouders, veel beter inzicht krijgen in de hele keteninfrastructuur, door al die informatie die nu verzameld wordt, vooral door die ROI’s. Waar dat nou toe gaat leiden.
Jeroen: De Register of Information.
Peter: Oh, sorry, ja. Waar dat dan, dat beeld dat we met z’n allen straks hebben, en het nadenken over alle risico’s enzovoort, waar dat precies toe gaat leiden. Want je kunt je voorstellen, we kunnen natuurlijk wel vaststellen – dat kan ik zonder de registers wel – dat het merendeel van de partijen iets met Microsoft doet, om maar even een voorbeeld te noemen. En dat heb je dan met z’n allen geconstateerd. En dan? Wat ga je dan over dat soort dingen doen? Hoe ga je erover nadenken, hoe ga je ermee om? Blijft het bij: ‘Nou ja, we weten het en we accepteren het’, of gaan we daadwerkelijk iets concreets doen, of kunnen we dat überhaupt? Eigenlijk is dat juist heel actueel geworden door de geopolitieke situatie op dit moment.
Jeroen: En met de AI-wet ook heel relevant.
Peter: Dus ik heb nog geen antwoord, maar ik ben wel nieuwsgierig welke kant het met z’n allen op gaat en wat voor activiteiten dat zal opleveren.
Jeroen: Mooi hoe je dat zegt, want ik kan me dat ongelooflijk goed voorstellen, dat het zelfs op een bepaald moment een beetje in de politieke sfeer getrokken wordt, van ja, we zijn nu achtergekomen door deze informatieuitvraag dat we echt nog meer afhankelijk zijn dan bepaalde Amerikaanse big tech-partijen, dat weten we eigenlijk al wel. Dan ben ik het met je eens. Maar toch, dan kan het zomaar politiek worden, en dat is wat jullie denk ik niet willen, maar toch.
Peter: Ja, maar vooral ook, wat kun je dan op een gegeven moment ook? We kunnen een hoop willen, maar je moet ook dingen kunnen.
Jeroen: Snap ik. Ja, goed, ik denk dat het bij risicomanagement, waar toch de kern van de financiële sector en ook van jullie werk ligt, gaat over eerst maar eens weten wat er precies is, voordat je überhaupt een goede risk-based approach kunt toevoegen. Tot slot een vraag aan jullie, wat een ontzettend leuk gesprek, heel veel geleerd. Ik zei al van tevoren, dit wordt veel te interessant, dus ik ga het veel te lang opnemen. Wat is te lang? Zolang wij het leuk vinden, is het prima wat mij betreft. Maar is er iets waarvan je zegt: Jeroen, je hebt zeker heel veel gemist, ik heb nog heel veel andere onderwerpen en sub-onderwerpen waar we het over kunnen hebben, maar echt cruciale dingen waarvan je zegt: dat hadden we wel echt moeten bespreken?
Tom: Nou, we hebben inderdaad wel heel veel geraakt, denk ik. Wat ik toch wel zou willen noemen, is dat we aan het begin hebben genoemd dat harmonisatie een punt is van DORA. En dat wil eigenlijk ook zeggen dat de wetten en de nu staande RTS’en op een vergelijkbare manier zouden moeten worden uitgelegd door de verschillende toezichthouders. Als we als metafoor vanuit DORA verwachten dat er een bewaker naast het hoofdkantoor van een financiële instelling staat die bewapend moet zijn, dan moet het niet zo zijn dat de ene lidstaat zegt dat het een dubbelloopsgeweer moet zijn, en de andere lidstaat zegt dat een klappertjespistool ook wel voldoende is. Er zijn best nog wel een aantal vraagstukken die, denk ik, boven zullen komen drijven als we straks van start gaan met DORA en de uitleg daarvan. Ik denk dat instellingen ook best wel met vragen zitten. En waar ik zelf altijd wel een beetje het gevoel heb, is dat er best een drempel bestaat voor instellingen om bij de toezichthouder aan te kloppen om te zeggen: goh, hoe zit het nou? Ik zou instellingen die met hun vertegenwoordigers naar deze podcast luisteren ook van harte willen uitnodigen om die vragen te blijven stellen, want wij hebben ze ook. En soms moeten we ook terug naar de Europese Commissie om daar uitleg over te vragen. Maar het is wel een gezamenlijke exercitie, zou ik willen zeggen.
Jeroen: Ja, want dat is denk ik heel erg inherent aan de huidige manier van wetgeving maken. Er zijn natuurlijk nog heel veel dingen die ingevuld moeten worden door jullie in samenwerking met wat je uit de sector ophaalt.
Tom: Ja.
Jeroen: Leuk. Nou, boeiend. Ik vind het een heel interessant onderwerp, ook omdat ik echt denk dat het cruciaal is voor de sector om dit goed op orde te hebben. Je kunt altijd over een paar jaar ook eens kijken, dat zou mijn toevoeging zijn, hoe effectief het is. Of gaat het toch iets te veel naar ‘check the box’? Maar het moet natuurlijk uiteindelijk gaan over het daadwerkelijk implementeren van dingen in je organisatie. Want ja, het opleveren is één ding. En dat zie je natuurlijk toch nog wel eens bij onderwerpen, dat het iets te veel neigt naar: we hebben het gedaan om compliant te zijn bij de toezichthouder, maar we moeten ook echt actie ondernemen. En dat is natuurlijk een mooi samenspel tussen jullie en de sector. Maar in ieder geval heel interessant. Luisteraar nummer één, en er zit hier in de zaal nog een luisteraar. Ik denk dat zij, in ieder geval ik spreek voor mezelf, het heel interessant vonden. Ik heb zometeen een klein bedankje voor jullie, om mijn dank richting jullie kracht bij te zetten. En voor nu heel fijn dat jullie de tijd wilden nemen om zo uitgebreid DORA toe te lichten vanuit het perspectief van de toezichthouder. Heel graag gedaan. Ik vond het leuk om te doen. Graag gedaan. En dank voor de mogelijkheid.
Voice-over: Je luisterde naar de Leaders in Finance Compliance podcast. Deze podcast werd mede mogelijk gemaakt door Cense, Deloitte, Kayak, Rabobank, en Osborne Clarke. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren.