Hoewel AFM en DNB onderkennen dat de afhankelijkheid van niet-Europese ICT-dienstverleners op korte termijn niet substantieel kan worden verminderd, wijzen zij financiële instellingen op maatregelen die wel getroffen kunnen worden om de risico’s van een te grote afhankelijkheid te mitigeren. AFM en DNB benoemen daarbij tevens de recente wijzigingen in het regelgevend kader, waaronder de EU Digital Operational Resilience Act (“DORA“), die Europese financiële instellingen verplicht om op uniforme en deugdelijke wijze hun IT-risico’s te inventariseren en te beheersen. Daarnaast noemen AFM en DNB ook zaken die in Europees verband geregeld moeten worden. Ook kunnen AFM en DNB zelf drempels in regelgeving identificeren, die aan het inschakelen van Europese ICT dienstverleners in de weg kunnen staan. Hieronder bespreken wij de belangrijkste aandachtspunten uit het rapport.
De financiële sector is gebouwd op ICT-diensten
Financiële ondernemingen bouwen de ruggengraat van hun organisatie grotendeels met dezelfde IT-platformen van de grote Amerikaanse cloud service providers (ookwel hyperscalers genoemd). In een NRC-interview van 19 Oktober waarin AFM en DNB ingaan op deze risico’s en hun rapport aankondigen, wijst DNB directeur toezicht Steven Maijoor ook op de prominente rol van Israëlische aanbieders van cybersecurity software en Indiase ICT-dienstverleners.
Financiële ondernemingen gebruiken bij al hun bedrijfsprocessen in meer of mindere mate externe ICT-diensten. Enerzijds gedreven door efficiëntie, kostenreductie en aansluiting bij klantbehoeften, en anderzijds om een deel van de ICT-risico’s, die voortvloeien uit toenemende complexiteit en cyberrisico’s, te laten beheren buiten de eigen organisatie door gespecialiseerde ICT-dienstverleners. Door factoren zoals hoge redunancy (het beschikken over dubbele of meervoudige infrastructuur) en geografische spreiding zouden cloud service providers beschikbaarheid van data en ICT-diensten beter of goedkoper kunnen waarborgen dan financiële ondernemingen zelf.
Een belangrijke aanleiding voor het Rapport, is de hooggespannen geopolitieke situatie, in combinatie met de afhankelijkheid van Europese (financiële) ondernemingen van de ICT-diensten die worden geleverd door een handvol Amerikaanse ICT-dienstverleners. Daarnaast kan de dominantie van Amerikaanse AI platformen in de toekomst leiden tot nog verdergaande afhankelijkheid van Amerikaanse tech platformen. Deze afhankelijkheden kunnen worden misbruikt om geopolitieke doelen te bereiken.
Verhouding tot bestaande regelgeving
DORA, dat sinds 17 januari 2025 van toepassing is, adresseert ICT-risico’s op uniforme wijze voor een groot deel van de financiële ondernemingen in de Europese Unie. Door de verplichte ICT-informatieregisters, wordt per financiële onderneming de afhankelijkheid van interne- en externe ICT-processen inzichtelijk en worden, op macroniveau, ook concentratierisico’s inzichtelijk. Concentratie van kritieke ICT-diensten bij enkele (systeemrelevante) leveranciers van ICT-diensten kan resulteren in systeemrisico’s. De stabiliteit van het financiële stelsel wordt dan afhankelijk van de robuustheid en beschikbaarheid van externe ICT-diensten, wat nogmaals pijnlijk werd onderstreept door de uitval van kritieke diensten ten gevolge van de storing bij AWS.
DORA is een gedetailleerd en verstrekkend regelgevingspakket. Het beoogt uniforme beheersing van ICT-risico’s in de financiële sector en reguleert diverse aspecten, waaronder governance, risicobeoordelingen, contractuele bepalingen en basaal toezicht op systeemrelevante ICT-dienstverleners. Op dit laatste punt lijkt DORA, al snel na inwerkingtreding tekort te schieten. In haar huidige vorm is DORA ontoereikend om systeemrisico’s en geopolitieke risico’s te ondervangen.
DORA bevat namelijk een aanzet om systeemrelevante ICT-dienstverleners, onder specifieke voorwaarden, onder enige mate van EU-toezicht te brengen. Dit is uniek omdat andere EU-regelgeving binnen de financiële sector voornamelijk ziet op financiële ondernemingen. Deze aanpak lijkt volgens AFM en DNB echter onvoldoende om de geopolitieke risico’s volledig te adresseren. AFM en DNB zien concrete mogelijkheden om het DORA toezichtkader voor (niet-EU) kritische ICT-dienstverleners te verbeteren. Zo stellen AFM en DNB dat de EU DORA op dit punt zou moeten evalueren en waar nodig nadere guidance moeten overwegen. Daarnaast zou op termijn ook overwogen kunnen worden om een dwingendrechtelijk toezichtkader te implementeren voor kritieke IT-dienstverleners.
AFM en DNB merken op dat DORA volgens sommige financiële ondernemingen en ICT-dienstverleners kan leiden tot verschraling van het aanbod van ICT-dienstverleners, waardoor het concentratierisico wordt vergroot. Dit komt met name omdat sommige kleine ICT-dienstverleners niet aan DORA kunnen of willen voldoen, en dus hun dienstverlening aan cliënten in de financiële sector staken.
Daarnaast kan DORA ertoe leiden dat financiële ondernemingen het aantal ICT-diensten dat zij afnemen, reduceren, om zo hun administratieve druk te verlagen. Ook deze prikkel kan volgens de AFM en DNB leiden tot meer concentratie van diensten bij minder ICT-dienstverleners. Tegelijkertijd kan een reductie in het aantal ICT-diensten en ICT-dienstverleners waarvan een financiële onderneming afhankelijk is, ook resulteren in een overzichtelijker en beter beheersbaar ICT-landschap voor een financiële onderneming. AFM en DNB zouden er dus ook op bedacht moeten zijn dat het realiseren van vereenvoudiging en meer overzicht een bewuste strategie kan zijn en op zich een gerechtvaardigd doel, dat in lijn is met de doelstelling van DORA.
Systeemrisico’s
Door concentratie van activiteiten bij enkele ICT-dienstverleners zijn concentratie- en (ICT) systeemrisico’s ontstaan. Een storing bij één ICT dienstverlener kan meerdere instellingen tegelijk raken. Dit werd goed geïllustreerd door de grote storing bij AWS, die opmerkelijk genoeg op dezelfde dag plaatsvond als de publicatie van het Rapport (Amazon’s cloud business hit by widespread outage). Hoewel deze storing zich, aldus AWS, voordeed in haar geografische eenheid US-EAST-1 Region, ondervonden wereldwijd AWS klanten technische problemen. Financiële ondernemingen uit het Verenigd Koninkrijk zoals Lloyds Bank, Halifax en Bank of Scotland maar ook crypto beurs Coinbase en apps zoals Snapchat, Duolingo, Pokemon go, Roblox, Alexa en Ring deurbellen, kregen hierdoor te maken met storingen in hun beschikbaarheid en dienstverlening. Zo konden rekeninghouders van een aantal Engelse banken enige uren online geen toegang krijgen tot hun rekening of geen betalingen uitvoeren.
Mogelijke risicobeheersingsmaatregelen
AFM en DNB concluderen dat hoewel financiële ondernemingen deze geopolitieke- en systeemrisico’s onderkennen en doorgaans intensief ICT-risicomanagement daarop uitvoeren, financiële ondernemingen deze risico’s slechts deels kunnen mitigeren. Bijvoorbeeld door het opstellen van exitplannen en exit strategieën, en het in kaart brengen van het ICT-landschap en het nastreven van een multi-vendor strategie, waarbij financiële ondernemingen niet al hun ICT-diensten afnemen van één ICT-dienstverlener. Desondanks zijn er momenteel nog onvoldoende gelijkwaardige alternatieven van EU IT- dienstverleners en zijn er drempels om over te stappen, waardoor het risico van vendor lock-in op de loer ligt. Bij gebrek aan niet-Amerikaanse alternatieven is een afname van de afhankelijkheid van Amerikaanse ICT-dienstverleners op korte termijn niet reëel.
AFM en DNB achten het van strategisch belang dat deze afhankelijkheid op termijn wordt verminderd. Het vergroten van de Europese digitale autonomie, vergt echter acties op Europees niveau, waarbij wordt gewezen op de oplossingen die in het Draghi rapport zijn geformuleerd. Daarnaast zou een EU-toezichthouder specifiek voor cloud diensten, mogelijk beter werken dan de huidige gefragmenteerde EU-aanpak, waarbij meerdere toezichthouders, zowel binnen als buiten de financiële sector zich mede bezighouden met cloud serviceproviders.
Hoewel de Europese bedrijfsonderdelen van Amerikaanse hyperscalers, (vaak duurdere en minder flexibele) datasoevereiniteitsoplossingen aanbieden, is het de vraag in hoeverre dergelijke organisatorische, operationele en juridische maatregelen bescherming bieden tegen staatsinmenging. Desondanks zullen financiële ondernemingen moeten kunnen uitleggen welke maatregelen zij hebben genomen om te waarborgen dat hun data soeverein en veilig zijn.
DNB en AFM wijzen ook op de mogelijkheid voor financiële ondernemingen om encryptiesleutels in de eigen ICT-omgeving te beheren en deze niet door cloud service providers te laten beheren, om zo data in de cloud beter te beschermen tegen onbevoegde toegang daartoe door overheden. Dit ondervangt echter niet de systeemrisico’s die kunnen voortvloeien uit uitval van systemen of dataverlies. Ook kunnen financiële ondernemingen maatregelen overwegen die de portabiliteit van hun data en processen in cloud applicaties verhoogt, waardoor deze eenvoudiger kunnen worden overgeheveld naar andere aanbieders of teruggenomen in eigen beheer.
Financiële ondernemingen kunnen, al dan niet gezamenlijk, dreigingsscenario’s ontwikkelen, met een focus op ontwrichtende scenario’s, en op basis daarvan tests uitvoeren op hun (interne en externe) ICT-processen. Dit kan leiden tot beter inzicht in de opties die resteren in een crisisscenario. Ook kunnen financiële ondernemingen efficiënter dreigingsinformatie uitwisselen en – met inachtneming van geldende mededingingsregels – meer gezamenlijk optrekken bij het contracteren van ICT-diensten. AFM en DNB zijn bereid om op deze onderwerpen een faciliterende rol te spelen. AFM en DNB zullen zich in hun (DORA) toezicht in het bijzonder focussen op de voorbereidingen van financiële ondernemingen op ontwrichtende scenario’s en bieden aan, waar nodig, de samenwerking tussen verschillende financiële ondernemingen en IT-dienstverleners ten behoeve van deze scenarioanalyses te faciliteren.