DORA: AZL helpt pensioenfondsen klaar te zijn voor de toekomst
Met de komst van de Digital Operational Resilience Act (DORA) op 17 januari 2025, zet AZL zich in om pensioenfondsen optimaal voor te bereiden op deze nieuwe wetgeving. DORA is ontworpen om de digitale weerbaarheid van financiële instellingen te versterken. Dit betekent dat beleid, processen en systemen moeten worden aangepast om te voldoen aan strenge eisen op het gebied van informatiebeveiliging en digitale operationele weerbaarheid.
“De implementatie van DORA is belangrijk voor pensioenfondsen om verschillende redenen”, zo trapt Michiel de Haan (Chief Information Security Officer bij AZL) af. DORA verhoogt de weerbaarheid tegen digitale bedreigingen en incidenten, wat de veiligheid en betrouwbaarheid van de dienstverlening aanzienlijk verbetert. Bovendien zorgt DORA voor Europese transparantie en standaarden, waardoor kwetsbaarheden snel kunnen worden geïdentificeerd en aangepakt. Michiel: “Door te voldoen aan DORA tonen pensioenfondsen aan dat zij de hoogste standaarden op het gebied van informatiebeveiliging naleven, wat het vertrouwen van deelnemers en toezichthouders versterkt.”
Waar bestaan die hoge standaarden uit?
DORA verplicht pensioenfondsen om proactief ICT-risico’s te identificeren en te beheren, wat helpt bij het voorkomen van incidenten en het minimaliseren van de impact van verstoringen. De wetgeving vereist een eenduidige aanpak voor de classificatie, rapportage en opvolging van ICT-gerelateerde incidenten, en transparantie over de hele keten van derde aanbieders van ICT-diensten. Deze aanbieders moeten aantonen te voldoen aan de DORA-vereisten. Daarnaast moeten pensioenfondsen bewijzen dat hun systemen voldoende beschermd zijn tegen ICT- en andere kwetsbaarheden.
Ondersteuning vanuit AZL
“AZL speelt als uitbestedingspartner een sleutelrol in de naleving van DORA door pensioenfondsen”, licht Ron de Wolff (risk manager bij AZL) toe. “Veel DORA-eisen zijn uitbesteed aan AZL. AZL toont aan dat ze voldoet aan deze eisen. Zo hebben alle pensioenfondsen en kritieke leveranciers de DORA-contractallonge ontvangen ter ondertekening, zijn het IT-beleid en de processen aangescherpt en is een testversie van het DORA-informatieregister aangeleverd bij DNB ter beoordeling. Ook is het interne AZL-toetsingsraamwerk aangepast aan de DORA-eisen.”
Daarnaast ondersteunt AZL-pensioenfondsen bij de vereiste DORA-aanpassingen van beleid en processen en de totstandkoming van het DORA-informatieregister. De DORA-workshops, de speciaal ontwikkelde sjablonen voor governance, risicobeheer en leveranciersmanagement en de maandelijkse nieuwsbrieven worden goed gewaardeerd. Aan het eind van vorig jaar zijn secties over ernstig incidentenbeheer en bedrijfscontinuïteit toegevoegd aan deze sjablonen.
Vervolgstappen
DORA richt zich vooral op kritieke of belangrijke bedrijfsfuncties (KoB-functies) en de daaraan verbonden ICT-risico’s, maar ook niet-kritieke functies vallen onder DORA. Deze moeten bijvoorbeeld samen met de betrokken leveranciers worden opgenomen in het DORA-informatieregister.
“AZL is klaar voor DORA met betrekking tot de kritieke functies”, geeft Michiel aan. “Na 17 januari worden de werkzaamheden voor niet-kritieke functies afgerond. Daarnaast toetst AZL per kwartaal of de uitvoering van het beleid en de processen blijvend voldoen aan DORA. Hiermee borgt AZL een hoog niveau van informatiebeveiliging en digitale operationele weerbaarheid, waarmee AZL blijvend voldoet aan de hoge eisen die worden gesteld aan haar uitbestedingsrol.”
Lees ook: DORA: vertrouwde stap naar IT-weerbaarheid en professionaliteit | AZL