Digitale weerbaarheid en nieuwe wetgeving

1. 7 januari 2022, door Michael Mackaaij
2. 0 reacties

Hoewel digitalisering onze branche enorm veel kansen biedt op het vlak van advisering, bemiddeling en beheer, zijn er duidelijk ook veel nieuwe risico’s aan verbonden. Alleen al de afgelopen tijd de ransomware-zaken bij MediaMarkt en VDL, maar direct in onze eigen branche afgelopen jaar de problemen met de IBL-tool waar veel hypotheekadviseurs mee werken.

Deze nieuwe risico’s hebben ook de aandacht van de (Europese) wetgever en de toezichthouders DNB, AFM en AP, die elk vanuit hun eigen aandachtsgebied zorg hebben voor de continuïteit van de onder toezicht gestelden. Sinds enkele jaren is er een nieuwe Europese wet in de maak die specifiek op deze nieuwe risico’s ingaat: Digital Operations Resilience Act (DORA). De verwachting is dat deze wet in 2023 van kracht zal worden, met vervolgens een periode van 24 maanden van nationale implementatie. Hoewel dat nog ver weg lijkt, zal ik aangeven waarom het toch belangrijk is om nu al kennis te nemen van de totstandkoming van deze wet, en daarvan op de hoogte te blijven.

Ten eerste: heel veel van de bepalingen die straks in deze wet zullen worden opgenomen, maken nu al onderdeel uit van bestaande leidraden. Bijvoorbeeld de leidraad Uitbesteding en onder-uitbesteding. Hoewel niet altijd gedetailleerd ingevuld, zijn er nu dus al normen van kracht die niet altijd de juiste aandacht krijgen. Ten tweede: hoewel de wet over enkele jaren in zal gaan, sluiten we in onze branche vaak meerjarige contracten met onze softwareleveranciers. Dat betekent in theorie dat een contract in 2022 tot stand kan komen met een looptijd tot 2027, en dat in 2025 dit contract niet op de juiste manier rekening houdt met de nieuwe wetgeving omdat bijvoorbeeld over bepaalde onderwerpen geen afspraken zijn gemaakt.

Ten derde: de aanwijzingen die uit de DORA-wetgeving volgen, helpen de ondernemer om aandacht te geven aan die risico’s die onderkend zijn als continuïteit bedreigend.

Vijf vragen

Eén van de onderwerpen uit de DORA-wetgeving waar iedereen bij wijze van spreken morgen mee aan de slag kan gaan, is een zogenaamd uitbestedingsregister. Dit klinkt heel omvattend, maar is in eerste instantie een eenvoudig overzicht van alle software- en IT-leveranciers waarmee je als bedrijf een overeenkomst hebt gesloten. Vervolgens kun je bij elk contract de volgende vijf vragen stellen: wie is verantwoordelijk voor het maken van back-ups? Op welke manier worden die backups gemaakt? Hoe wordt gecontroleerd en gerapporteerd of die back-ups gemaakt zijn? Hoe vaak controleren we of de gemaakte backups terug te zetten zijn? Hoe rapporteren we die controle?

Bovenstaand overzicht maken kost niet meer dan enkele uren en geeft direct inzicht. Er waren de afgelopen jaren tientallen bedrijven die deze stappen graag en beter hadden willen zetten voordat ze erachter kwamen dat de back-ups onvoldoende waren. In het geval van een tekortkomende back-up blijft vaak alleen een beroep op verzekeringsdekking mogelijk. Die van de leverancier of uw eigen cyberpolis. Die heeft u inmiddels voor uw eigen bedrijf toch wel gesloten?

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen