CryptaCount
NL
EnglishENDeutschDEEspañolESFrançaisFRItalianoIT日本語JA한국어KONederlandsNLPolskiPLPortuguêsPT
Inloggen Gratis starten

AFM DORA Review: ICT-risicokloven bij handelsplatformen

CryptaCount Editorial · · 5 min leestijd
WITWASBESTRIJDING / KYC / VERGUNNINGEN AFM DORA Review: ICT-risicoklovenbij handelsplatformen

De Nederlandse Autoriteit Financiële Markten (AFM) heeft de bevindingen gepubliceerd van een thematisch onderzoek naar hoe handelsplatformen de Digital Operational Resilience Act (DORA) implementeren. De conclusie: het fundamentele werk is gedaan, maar er blijven aanzienlijke hiaten bestaan op het gebied van beveiligingsmonitoring, toegangsbeheer, logging, noodprocedures voor wijzigingen en continuïteitsbeheer. De AFM heeft duidelijk gemaakt dat zij zal ingrijpen waar bedrijven tekortschieten ten opzichte van de wettelijke vereisten, en dat haar toezichtfocus verschuift van papieren beleid naar aangetoonde operationele praktijk.

AFM DORA Review: ICT-risicokloven bij handelsplatformen

Wat DORA vereist en waarom handelsplatformen binnen de reikwijdte vallen

DORA is per januari 2025 volledig van toepassing in de hele EU. Het stelt bindende eisen aan ICT-risicobeheer, incidentmelding, operationele veerkrachttesten en toezicht op ICT-risico's van derden. Handelsplatformen, met name gereglementeerde markten, multilaterale handelsfaciliteiten (MTF's) en georganiseerde handelsfaciliteiten (OTF's), vallen duidelijk binnen de reikwijdte. ICT-uitval, cyberincidenten en systeemstoringen bij deze platformen kunnen direct de marktintegriteit en het vertrouwen van beleggers ondermijnen, precies de reden waarom de AFM hen als onderwerp van dit onderzoek heeft gekozen.

Het toezichtstandpunt van de AFM

De toezichthouder heeft een betekenisvolle verschuiving aangekondigd in de manier waarop zij toezicht houdt. In plaats van te beoordelen of een bedrijf een schriftelijk beleid heeft, evalueert de AFM nu of controles daadwerkelijk werken en of ze echt bijdragen aan digitale operationele veerkracht. Bedrijven die slechts gedeeltelijk voldoen aan de wettelijke DORA-vereisten, kunnen verwachten dat de toezichthouder ingrijpt.

Belangrijkste bevindingen uit het thematisch onderzoek

Het AFM-onderzoek identificeerde een consistent patroon: de brede architectuur van een ICT-risicokader is meestal aanwezig, maar de diepgang, specificiteit en governance eromheen zijn vaak ontoereikend. Hieronder staan de specifieke gebieden die de toezichthouder heeft genoemd.

Gap-analyses zijn te hoog over

De meeste handelsplatformen in het onderzoek hadden gap-analyses uitgevoerd ten opzichte van de DORA-vereisten. Het probleem is dat deze beoordelingen vaak te breed waren. Wanneer de gap-analyse op een hoog abstractieniveau werkt, kunnen relevante DORA-verplichtingen door de mazen van het net glippen en worden tekortkomingen pas later zichtbaar, waarna herstel duurder en moeilijker is. De AFM beveelt aan dat bedrijven meer gedetailleerde, periodieke gap-beoordelingen uitvoeren in plaats van een eenmalige oefening op hoog niveau.

Specifieke ICT-controlezwaktes

Verschillende componenten van het ICT-beheerskader bleken verbetering behoeven. De gebieden die de AFM benadrukte, zijn niet marginaal; ze vormen de kern van wat cyberveerkracht in de praktijk betekent:

  • Beveiligingsmonitoring: Controles voor het detecteren en reageren op bedreigingen in realtime moeten worden versterkt.
  • Toegangsbeheer: Governance over wie toegang heeft tot welke systemen, en onder welke voorwaarden, is inconsistent met de verwachtingen van DORA.
  • Logging: De volledigheid en integriteit van audittrails behoeven aandacht; logs zijn een fundamenteel hulpmiddel voor zowel incidentrespons als toezichthoudende inspectie.
  • Noodprocedures voor wijzigingen: De processen voor dringende of ongeplande wijzigingen aan ICT-systemen missen de vereiste DORA-rigour.
  • Continuïteitsbeheer: Bedrijfscontinuïteits- en noodherstelregelingen voldoen niet consistent aan de vereiste norm.

Onderscheid tussen beleid en procedure is vervaagd

De AFM constateerde dat bedrijven niet altijd een duidelijk onderscheid maken tussen beleid en procedures. Dit is van belang omdat DORA specificeert dat bepaalde vereisten op beleidsniveau moeten worden ingebed, wat gevolgen heeft voor governance en formele goedkeuring door de raad van bestuur. Wanneer beleid en procedures in documentatie worden samengevoegd, wordt het moeilijk om aan te tonen dat de wettelijke vereiste formeel is aangenomen. Duidelijke governancestructuren en gedocumenteerde bestuursgoedkeuring zijn, volgens de AFM, essentieel om naleving aan te tonen.

ICT-beleidshiaten op groepsniveau

Waar handelsplatformen opereren als onderdeel van een grotere groep en ICT-diensten binnen die groep afnemen, bleek uit het onderzoek dat DORA-vereisten niet consistent zijn ingebed in het beleid en de documentatie op groepsniveau. De aanbeveling van de AFM is dat instellingen op groepsniveau DORA-conforme beleidskaders opstellen, die vervolgens consistent doorwerken naar entiteitsniveau. Zonder dat kunnen individuele entiteiten denken dat ze gedekt zijn door groepsregelingen terwijl er in werkelijkheid hiaten bestaan.

Wat bedrijven nu moeten doen

De AFM heeft handelsplatformen expliciet opgeroepen om de bevindingen en aanbevelingen uit dit onderzoek te overwegen en, waar van toepassing, ernaar te handelen in hun lopende DORA-implementatie. Voor compliance officers, CFO's en auditors bij of adviserend aan handelsplatformen zijn de praktische conclusies concreet.

Herbeoordeel de gap-analyse

Als uw DORA gap-analyse op hoog niveau of als eenmalige oefening is uitgevoerd, moet deze worden herzien. Koppel elk DORA-artikel en elke implementatietechnische standaard aan een specifieke controle, eigenaar en bewijsstuk. Bouw een periodieke herzieningscadans in de nalevingskalender in, in plaats van de gap-analyse als een afgerond item te beschouwen.

Test controles, niet alleen documentatie

Gezien de aangekondigde verschuiving van de AFM naar het beoordelen of maatregelen daadwerkelijk werken, moeten bedrijven verder gaan dan beleidsbeoordelingen en overgaan tot operationele tests. Beveiligingsmonitoringmeldingen, werkstromen voor toegangsvoorziening en -intrekking, log-integriteitscontroles en continuïteit-failover-tests moeten allemaal worden onderworpen aan gedocumenteerde tests met geregistreerde uitkomsten.

Los het onderscheid tussen beleid en procedure op

Herzie uw documentatietaxonomie. Identificeer welke DORA-verplichtingen expliciet een instrument op beleidsniveau vereisen en zorg ervoor dat deze documenten bestaan, duidelijk als beleid zijn gelabeld en formele goedkeuring van de raad van bestuur of het senior management dragen. Het kruisverwijzen van procedures naar het relevante beleid maakt toezicht en interne audit ook aanzienlijk eenvoudiger.

Stem ICT-kaders op groepsniveau af

Als uw entiteit afhankelijk is van ICT-diensten van de groep, werk dan samen met uw groep compliance- en technologieteams om ervoor te zorgen dat DORA-vereisten expliciet worden behandeld in beleid op groepsniveau. Een hiaat op groepsniveau kan niet op entiteitsniveau worden weggemoffeld; de toezichthouder zal naar beide kijken.

Bedrijven die naast traditionele instrumenten ook crypto-activatransacties verwerken, moeten ervoor zorgen dat hun infrastructuur voor crypto compliance rapportage onderworpen is aan dezelfde DORA-conforme ICT-risicocontroles. Crypto-boekhoudsoftware en software voor digitale activa-boekhouding die wordt gebruikt in operationele of rapportageketens zijn ICT-hulpmiddelen binnen de reikwijdte van het bredere ICT-risicokader van de onderneming; hun veerkracht, toegangscontroles en loggingmogelijkheden zijn daarom relevant voor DORA-beoordelingen. De kwaliteit van de gegevens die door die systemen stromen, heeft ook directe implicaties voor de nauwkeurigheid van wettelijke rapportage.

Voor context over hoe de incidentmeldingseisen van DORA in de praktijk in de hele EU uitpakken, behandelt de eerdere analyse van DORA ICT-incidentmeldingsverplichtingen voor EU-bedrijven het eerste jaarlijkse ESA-incidentrapport in detail. Bedrijven die in Nederland opereren, moeten ook op de hoogte zijn van de AFM-vereisten voor de Richtlijn verkoop op afstand van financiële diensten voor crypto-aanbieders, die naast DORA staan in de huidige toezichtprioriteiten van de AFM.

AFM DORA Review: ICT-risicokloven bij handelsplatformen

FAQs

Welke entiteiten hebben direct te maken met dit AFM-onderzoek?

Het onderzoek was gericht op handelsplatformen die onder Nederlands AFM-toezicht vallen: gereglementeerde markten, multilaterale handelsfaciliteiten en georganiseerde handelsfaciliteiten. De bevindingen weerspiegelen echter algemene implementatie-uitdagingen in de sector, en andere financiële entiteiten die onder DORA vallen, moeten de aanbevelingen van de AFM beschouwen als indicatief voor de bredere toepassing van de toezichthoudende norm.

DORA is sinds januari 2025 van toepassing. Betekent dit onderzoek dat bedrijven materieel niet-nalevend zijn?

De taal van de AFM is genuanceerd. Ze erkent dat het basiskader over het algemeen aanwezig is. De zorg is dat de naleving nog niet volledig of duurzaam is en dat bepaalde controlegebieden wezenlijke zwaktes vertonen. De toezichthouder heeft bevestigd dat ze zal ingrijpen waar niet aan wettelijke vereisten wordt voldaan, dus de geïdentificeerde hiaten zijn niet slechts adviserend.

Wat bedoelt de AFM met het onderscheid tussen beleid en procedure?

De DORA-tekst, samen met bijbehorende implementatietechnische standaarden van ESMA en de andere ESA's, specificeert dat bepaalde vereisten op beleidsniveau moeten worden behandeld. Beleid heeft formeel governance-gewicht, inclusief goedkeuring door de raad van bestuur of het senior management. Procedures beschrijven hoe een beleid wordt uitgevoerd. Het samenvoegen van beide kan betekenen dat een DORA-vereist beleidsitem alleen als operationele procedure bestaat, wat mogelijk niet voldoet aan de governance-vereiste die de verordening beoogt.

Hoe is dit van toepassing op bedrijven die gebruikmaken van ICT-diensten van de groep?

De AFM ontdekte dat intra-groep ICT-dienstverlening een specifiek risicogebied is. Entiteiten die vertrouwen op door de groep geleverde ICT-infrastructuur, moeten ervoor zorgen dat DORA-verplichtingen expliciet worden behandeld in governance-documenten op groepsniveau, en niet worden aangenomen dat ze door de groepsentiteit worden afgehandeld. Toezichthouders beoordelen naleving op individueel entiteitsniveau, ongeacht de groepsstructuur.

Zal de AFM vervolgtoezichtacties ondernemen op basis van dit onderzoek?

De AFM heeft duidelijk verklaard dat ze de naleving van DORA-vereisten voortdurend monitort en dat haar onderzoeken de operationele realiteit onderzoeken, niet alleen gedocumenteerd beleid. Ze heeft ook bevestigd dat bedrijven die niet volledig aan de wettelijke vereisten voldoen, te maken krijgen met toezichthoudende interventie. Het thematisch onderzoek is daarom zowel een nalevingsroutekaart als een retrospectieve beoordeling.

Bron: AFM (Autoriteit Financiële Markten)

EUNLAlgemeenHandhavingAML/KYC & Vergunningen

Gerelateerde artikelen

AML/KYC & Vergunningen
AMLA-naleving: hoe crypto-boekhoudsoftware Nederlandse bedrijven kan helpen
AML/KYC & Vergunningen
AFM Anti-Discriminatieregels en Crypto Boekhoudsoftware Compliance
AML/KYC & Vergunningen
AFM DMFSD: Hoe Crypto Boekhoudsoftware Eerlijke Online Klantreizen Ondersteunt
AML/KYC & Vergunningen
CCDII-licenties: Hoe crypto-boekhoudsoftware helpt bij compliance