Een verkenning van het oversightkader in de Digital Operational Resilience Act
Op 16 januari 2023 is de Digital Operational Resilience Act2Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PbEU 2022, L 333/1). (hierna: DORA) in werking getreden. DORA harmoniseert vereisten ten aanzien van digitale operationele weerbaarheid binnen de financiële sector. Het uitgangspunt van DORA is dat het verhogen van digitale operationele weerbaarheid van financiële entiteiten bijdraagt aan het behoud van de stabiliteit en integriteit van de financiële markten. DORA bestaat uit vijf pijlers: ICT-risicobeheer, omgang met ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, beheer van ICT-risico van derde aanbieders en het toezicht op kritieke derde aanbieders van ICT-diensten (hierna: oversight). Deze aanbieders zijn van kritiek belang voor de dienstverlening van financiële entiteiten en daarmee de financiële sector. Oversight gaat worden uitgevoerd door de Europese Toezichthoudende Autoriteiten3Dit zijn ESMA (Europese Autoriteit voor effecten en markten), EIOPA (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en EBA (Europese Bankautoriteit). (hierna: ETA's) met ondersteuning van de in DORA aangewezen bevoegde autoriteiten4Dit zijn de toezichthouders die zijn aangewezen op grond van artikel 46 DORA. Hierin wordt per type onderneming verwezen naar de sectorale regelgeving en de (nationale) toezichthouders die op grond van die regelgeving zijn aangewezen. In Nederland zijn dat veelal AFM en DNB. Voor een aantal sectoren zijn niet de nationale toezichthouders, maar is een ETA aangewezen. Deze ETA valt in dat geval onder de definitie van bevoegde autoriteit. zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB).