In een steeds meer gedigitaliseerde omgeving, waar financiën grotendeels afhankelijk zijn van geavanceerde technologieën, zijn veiligheid en vertrouwen van gebruikers fundamentele aspecten. Vandaar de creatie van de nieuwe Wet op de Regulering van Digitale Operationele Veerkracht, algemeen bekend als DORA, die op 17 januari 2025 in werking is getreden. Deze sleutelwetgeving van de EU, Verordening (EU) 2022/2554, streeft naar het verbeteren van de digitale operationele veerkracht van financiële instellingen en het beschermen van gebruikers in de financiële sector tegen ICT-gerelateerde risico’s en operationele onderbrekingen.
Dora is gestructureerd rond vijf pijlers: ICT-beheer en governance, melding van incidenten, tests voor operationele veerkracht, risicobeheer van derde partijen en informatie-uitwisseling. Het doel is het creëren van een robuust kader van digitale kracht dat garandeert dat financiële instellingen en providers efficiënt financiële operaties beheren met een veilige en continue werking, zelfs in het geval van tegenwind, met duidelijke systemen en protocollen die in staat zijn te reageren, te voorkomen en cyberdreigingen te detecteren. Dankzij DORA zullen digitale platforms, zoals bankapps, betaaldiensten en beleggingssystemen, veiliger en betrouwbaarder zijn voor gebruikers. De samenwerking tussen financiële entiteiten en toezichthouders maakt het delen van informatie makkelijk en biedt een snelle en effectieve respons op mogelijke aanvallen, waardoor de impact op gebruikers wordt geminimaliseerd. Het introduceert ook een regelgevend kader dat toezicht houdt op kritieke providers, en zo garandeert dat wordt voldaan aan de hoogste normen van beveiliging om de eindgebruiker te beschermen tegen mogelijke fouten die zouden kunnen optreden door overmatige afhankelijkheid van derden.
DORA verplicht financiële entiteiten onder andere tot het regelmatig uitvoeren van audits op hun leveranciers en het vaststellen van mechanismen die in staat zijn om risico’s geassocieerd met outsourcing te matigen. Het eist ook van hen dat ze ernstige ICT-gerelateerde incidenten melden aan de bevoegde financiële autoriteiten, waardoor de responsiviteit en transparantie worden verbeterd. Alle deelnemers van het financiële ecosysteem worden sterker, entiteiten leren van fouten, versterken hun systemen en innoveren in deze omgeving zonder veiligheid in gevaar te brengen, hetgeen ten goede komt aan de gebruikers. Nieuwe technologieën zorgen voor een aanpak die gericht is op databescherming en vertrouwen, en stimuleren bovendien de concurrentie in de sector, wat bedrijven aanspoort om betere praktijken en veiligere en efficiëntere diensten aan te bieden.
Het vertegenwoordigt zonder twijfel een significante vooruitgang in het verbeteren van de veiligheid en veerkracht van de financiële sector in de Europese Unie. Met de implementatie ervan profiteren de eindgebruikers van meer bescherming tegen cyberdreigingen, meer transparantie, betrouwbaardere diensten, toezicht op externe leveranciers, verantwoorde innovatie, kostenreductie, grotere financiële stabiliteit, evenals een gecoördineerde respons op verschillende dreigingen en een impuls aan connectiviteit. De genoemde Verordening vereist periodieke tests van operationele veerkracht zodat digitale platforms storingen aankunnen en gebruikers voortdurend en betrouwbaar toegang hebben tot hun financiële diensten. Zelfs tijdens onverwachte situaties of crises blijven financiële entiteiten functioneren. Zo kunnen klanten bij een grootschalige cyberaanval essentiële diensten zoals overboekingen of betalingen blijven gebruiken zonder significante onderbrekingen.
De adoptie van deze nieuwe regelgeving door de financiële sector heeft een positieve impact die verder gaat dan de sector zelf, door bij te dragen aan een veiligere en technologisch geavanceerdere maatschappij. Het is onvermijdelijk, op dit punt gekomen, om de andere kant van DORA te overwegen, de keerzijde, het meest controversiële: de mogelijke negatieve effecten voor de gebruikers.
1.- Het naleven van de regelgevende eisen zal hogere operationele kosten genereren voor de instellingen. Wie zal deze kosten dragen? Worden ze naar de gebruikers doorgeschoven?
2.- Financiële regelgeving en naleving van normen door instellingen. Belemmert dit de ontwikkeling van nieuwe, voor gebruikers toegankelijke financiële technologieën doordat instellingen meer bezorgd zijn om aan de regelgeving te voldoen?
3.- Hoe gaan kleinere financiële instellingen voldoen aan de eisen van DORA? Kan dit het einde van competitie betekenen? In dat geval zouden gebruikers minder keuzes hebben.
4.- Communicatie: transparantie van verantwoordelijkheden of verwarring bij de gebruikers over hun rechten?
De nieuwe regelgeving roept veel vragen op. Als het gaat om het aanvragen van een lening, schept het meer afstand of brengt het oudere gebruikers dichterbij? Gaan we naar een meer inclusief systeem? Zal het de eindgebruiker zijn die economisch betaalt voor een veiliger en sterker financieel systeem? Kortom, de twee kanten van een wet die inzet op de veiligheid en sterkte van het financieel systeem, de voordelen en mogelijke nadelen voor de eindgebruikers.
Antonio GarcÃa Rouco
Algemeen Directeur GDS Modellica EMEA