‘DORA sneeuwt onder door Wtp’ — artikel bevat een betaalmuur

Pensioenfondsen moeten begin 2025 voldoen aan DORA, de Europese regels voor digitale veiligheid. Door de overgang naar het nieuwe stelsel dreigt dat niet te lukken, waarschuwen consultants Like Warringa van ACE en Arno IJmker van Eraneos.

Door DORA worden de digitale-veiligheidseisen waaraan fondsen moeten voldoen strikter. Zij moeten bijvoorbeeld meer controle houden op de digitale veiligheid bij dienstverleners en meer rapporteren. Ook moeten ze vastleggen wat ze doen bij crisissituaties zoals een datalek.

Warringa van ACE, een adviesbureau voor de financiële sector, heeft onlangs een rondgang gemaakt langs vijftien pensioenbestuurders en medewerkers van uitvoerders. Ze wilde weten hoe ver zij zijn met de voorbereidingen om te voldoen aan de nieuwe regels. Hieruit bleek dat lang niet alle fondsen en uitvoerders al zijn begonnen, hoewel de deadline nadert.

‘Sommige bestuurders hebben de focus nu gericht op de Wtp, op het aanleveren van stukken bij DNB, of op de besluitvorming. Of ze zitten nog in de discussie met sociale partners over de keuze voor een flexibele of solidaire regeling. DORA sneeuwt dan onder. Bij andere besturen is een zzp’er geworven voor de DORA-implementatie of is het werk bij de risicomanager neergelegd’, vertelt ze.

Van een tweetal uitvoerders weet Warringa dat die teams hebben die bezig zijn met de invoering van de richtlijn. ‘Maar nog niet alle uitvoerders hebben het op de rit. Bij uitvoerders gaat ook veel aandacht naar de vervanging van systemen om de nieuwe wet uit te voeren. Ze kampen ook met een tekort aan mensen.’

Rijkelijk laat

IJmker van adviesbureau Eraneos herkent het beeld. ‘Gezien de hoeveelheid werk is het ongelukkig dat het samenvalt met de invoering van de Wtp. Veel fondsen hebben al ondersteuning gezocht, maar andere beginnen nu pas met erover na te denken. Dat is rijkelijk laat. Uitvoerders zijn hierbij eerder reactief dan proactief, maar moeten ook hun bijdrage leveren.’

Een derde ontwikkeling die speelt is dat veel fondsen tegelijk met overstap naar het nieuwe stelsel over gaan op nieuwe systemen van externe leveranciers. Die draaien vaak op afstand in de cloud in plaats van op lokale servers. ‘Het belang van DORA daardoor groter dan ooit’, aldus IJmker.

Als fondsen er niet in slagen om de deadline van 17 januari volgend jaar te halen, kunnen ze het aan de stok krijgen met DNB, waarschuwt Warringa. ‘Ieder voorjaar doen zij een uitvraag van de financiële risico’s.  Daar zal DORA onderdeel van worden. Als de richtlijn niet tijdig of niet voldoende ingevoerd is, dan kan DNB extra onderzoek uitvoeren. Ik heb pensioenfondsbesturen ondersteund die daarmee te maken kregen. Dat levert veel werk op omdat er iedere maand moet worden gerapporteerd over de voortgang op punten waar je tekort bent geschoten.’

Reputatieschade

Daar komt bij dat een fonds reputatieschade kan oplopen als zich een incident voordoet en de digitale veiligheid niet op orde is. Daarnaast is er het risico dat deelnemers schade ondervinden, voegt ze toe.

Als fondsen de deadline willen halen, moeten ze voor de zomer in kaart brengen welke stappen ze nog moeten zetten om te voldoen aan de richtlijn. Warringa: ‘Daarna moeten ze met de uitvoerder bespreken waarop die zich moet richten. We zitten al begin mei dus de tijd dringt.’ Dat ziet ook IJmker. ‘De deadline van januari 2025 laat weinig ruimte voor speling.’