1. LEI registratie
Als een ICT dienstverlener diensten verleent aan een financiële organisatie dan is de DORA regelgeving en LEI registratie van toepassing. Welke maatregelen de ICT dienstverlener dient te treffen, zijn afhankelijk van de aard van de ICT dienstverlening. Het zal duidelijk zijn dat de eisen aan een platform om klanttevredenheid te meten binnen een financiële organisatie van een ander niveau zijn dan ICT dienstverlening in het kader van betaalproces.
2. DORA
Sinds januari 2023 is de Digital Operational Resilience Act (DORA) van kracht. DORA is een Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. DORA is een aanvulling op bestaande wetgeving op dit punt, te weten: NIS2 en GDPR.
Doel is om de robuustheid te garanderen. De verordening richt zich op het aanscherpen van risk management, IT-incidentbeheersing, testen, toezicht op kritieke IT-dienstverleners, en het onderdeel Governance en organisatie. Daarnaast verbetert DORA de ketenveiligheid en worden de risico’s van fouten bij informatie-uitwisseling beperkt.
Organisaties die aan financiële organisaties IT-diensten leveren (hardware/software) dienen aan DORA te voldoen; het garanderen van robuustheid.
Uit de DORA:
Artikel 1, Onderwerp:
1. Teneinde een hoog gemeenschappelijk niveau van digitale operationele veerkracht te bereiken, worden in deze verordening uniforme vereisten vastgesteld voor de beveiliging van netwerk- en informatiesystemen die de bedrijfsprocessen van financiële entiteiten ondersteunen, en wel als volgt
(a) eisen die van toepassing zijn op financiële entiteiten met betrekking tot:
(i) risicobeheer op het gebied van informatie- en communicatietechnologie (ICT);
(ii) het melden van ernstige ICT-gerelateerde incidenten en het op vrijwillige basis melden van aanzienlijke cyberdreigingen aan de bevoegde autoriteiten
(iii) het melden van ernstige operationele of veiligheidsgerelateerde betalingsgerelateerde incidenten aan de bevoegde autoriteiten door de in artikel 2, lid 1, onder a) tot en met d), bedoelde financiële entiteiten
(iv) het testen van de digitale operationele veerkracht;
(v) het delen van informatie en inlichtingen in verband met cyberdreigingen en -kwetsbaarheden
(vi) maatregelen voor een goed beheer van ICT-risico’s van derden;
(b) eisen met betrekking tot de contractuele regelingen die worden gesloten tussen aanbieders van ICT-diensten aan derden en financiële entiteiten;
(c) voorschriften voor de vaststelling en uitvoering van het kader voor toezicht op kritieke aanbieders van ICT-diensten aan derden wanneer zij diensten verlenen aan financiële entiteiten
(d) voorschriften inzake samenwerking tussen bevoegde autoriteiten en voorschriften inzake toezicht en handhaving door bevoegde autoriteiten met betrekking tot alle onder deze verordening vallende aangelegenheden.
Er zijn nu vier technische ontwerpnormen in het kader van DORA vastgesteld. Deze vier technische ontwerpnormen zijn voorgelegd aan de Europese Commissie ter goedkeuring (januari 2024). Zie hieronder een overzicht en beschrijving. Welke technische ontwerpnorm voor Crowdtech van toepassing zijn, zal afhangen van de financiële organisatie aan wie diensten worden geleverd en welke dienst er wordt geleverd.
De drie Europese toezichthoudende autoriteiten (ETA’s) – de Europese Bankautoriteit (EBA), de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) en de Europese Autoriteit voor effecten en markten (ESMA) – hebben de eerste reeks definitieve technische ontwerpnormen in het kader van de Digital Operational Resilience Act (DORA) gepubliceerd.
De gezamenlijke technische ontwerpnormen zijn:
1. JC 2023 83 – Eindverslag over ontwerpen van technische reguleringsnormen waarin de criteria voor de classificatie van ICT-gerelateerde incidenten, materialiteitsdrempels voor ernstige incidenten en significante cyberdreigingen in het kader van Verordening (EU) 2022/2554 worden gespecificeerd.
Volgende stap: De definitieve ontwerp technische regelgevingsnormen (RTS) zullen ter goedkeuring worden voorgelegd aan de Europese Commissie. Na de goedkeuring zullen de RTS worden onderzocht door het Europees Parlement en de Raad en vervolgens worden gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Unie.
2. JC 2023 84 – Eindverslag over het ontwerp van technische regelgevingsnormen om de gedetailleerde inhoud van het beleid te specificeren met betrekking tot de contractuele regelingen inzake het gebruik van ICT-diensten ter ondersteuning van kritieke of belangrijke functies die worden verleend door externe ICT-dienstverleners, zoals voorgeschreven door Verordening (EU) 2022/2554.
Volgende stap: De definitieve ontwerp technische regelgevingsnormen (RTS) zullen ter goedkeuring worden voorgelegd aan de Europese Commissie. Na de goedkeuring zullen de RTS worden onderzocht door het Europees Parlement en de Raad en vervolgens worden gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Unie.
3. JC 2023 85 – Eindverslag over het ontwerp van technische uitvoeringsnormen inzake de standaardformulieren ten behoeve van het register van informatie met betrekking tot alle contractuele regelingen inzake het gebruik van ICT-diensten die worden verleend door externe ICT-dienstverleners overeenkomstig artikel 28, lid 9, van Verordening (EU) 2022/2554.
Volgende stap: De definitieve ontwerp technische regelgevingsnormen (RTS) zullen ter goedkeuring worden voorgelegd aan de Europese Commissie. Na de goedkeuring zullen de RTS worden onderzocht door het Europees Parlement en de Raad en vervolgens worden gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Unie.
4. JC 2023 86 – Eindverslag, Ontwerp van technische regelgevingsnormen voor de verdere harmonisering van ICT-risicobeheerinstrumenten, -methoden, -processen en -beleidsmaatregelen, zoals voorgeschreven in artikel 15 en artikel 16, lid 3, van Verordening (EU) nr. 2022/2554.Volgende stap: De ETA’s zullen de definitieve ontwerpen van technische reguleringsnormen (RTS) ter goedkeuring voorleggen aan de Europese Commissie. Na goedkeuring in de vorm van een gedelegeerde verordening van de Commissie, zal deze worden onderworpen aan het onderzoek door het Europees Parlement en de Raad, alvorens te worden gepubliceerd in het Publicatieblad van de Europese Unie. De verwachte toepassingsdatum van deze technische normen is 17 januari 2025.
3. LEI nummer
Met betrekking tot de LEI registratie het volgende.
Tijdens de financiële crisis van 2008 kwam aan het licht dat gegevens over financiële transacties onvolledig waren, en dat financiële instellingen grote risico’s liepen en bovendien onderling nauwe banden hadden. Er was een internationale verordening nodig die meer transparantie zou brengen in financiële transacties.
3.1 Meer transparantie
De G20, die bestaat uit de twintig belangrijkste geïndustrialiseerde landen en opkomende economieën, wilde het marktmisbruik en financiële fraude terugdringen. Om dit voor elkaar te krijgen besloot de G20 dat alle marktpartijen een unieke referentiecode – volgens ISO-norm 17442 – zouden moeten hebben: de Legal Entity Identifier (LEI).
Naast deze LEI-code moeten andere bedrijfsgegevens zoals naam, vestigingsplaats en datum van eerste deelname aan het LEI-systeem worden vastgelegd.
3.2 LEI’s in Nederland
In Nederland ziet de Autoriteit Financiële Markten (AFM) toe op naleving van wet- en regelgeving op de financiële markten en zodoende ook op de naleving van de European Market Infrastructure Regulation (EMIR). De AFM is ook verantwoordelijk voor het toezicht op de introductie van LEI’s en het gebruik daarvan in Nederland.
Het LEI-nummer kan worden onder meer worden aangevraagd bij de Kamer van Koophandel: https://www.kvk.nl/lei/meer-over/
De Kamer van Koophandel is gecertificeerd om LEI-nummer uit te geven.
Ook kan een LEI-nummer worden de officiele registratieagent van het LEI Europa validatieportaal https://lei-nederland.nl/?affiliate_code=lei-europa&affiliate_token=VI5WwYkoNktfZ64P
De prijzen en de registratieduur verschillen per uitgever van LEI-nummer.
4. Samenvatting
Als een ICT dienstverlener diensten verleent aan een financiële organisatie dan is de DORA regelgeving en LEI registratie van toepassing. Welke maatregelen de ICT dienstverlener dient te treffen, zijn afhankelijk van de aard van de ICT dienstverlening. Het zal duidelijk zijn dat de eisen aan een platform om klanttevredenheid te meten binnen een financiële organisatie van een ander niveau zijn dan ICT dienstverlening in het kader van betaalproces.
Amsterdam, 22 mei 2024