Een rondgang langs verschillende pensioenfondsbestuurders wijst uit dat de voorbereidingen vanuit pensioenfondsen op DORA (Digital Operational Resilience Act) op een laag pitje staan..
DORA in notendop
DORA in een notendop: de nieuwe wetgeving die organisaties dwingt veel bewuster om te gaan met de risico’s die verbonden zijn aan het gebruik van IT infrastructuur, binnen en – met name ook – buiten hun organisatie. Incidenten die de beschikbaarheid en veiligheid van die infrastructuur en bovenal de data die over die infrastructuur hun weg vinden zijn de afgelopen jaren steeds vaker realiteit geworden met alle gevolgen van dien voor betrokken organisaties, hun klanten, medewerkers en de samenleving als geheel.
Hoe bereiden pensioenfondsen zich voor?
Een aantal pensioenfondsbesturen is al in 2023 gestart met de voorbereidingen en gebruikt de checklist vanuit de Pensioenfederatie en/of DNB. Een goed vertrekpunt. Echter om te voldoen aan de DORA wetgeving is een nauwe samenwerking met de belangrijkste uitbestedingspartijen zoals de PUO noodzakelijk. Het testen van de weerbaarheid, informatie-uitwisseling en beheren van IT-risico’s in de keten vereisen een gezamenlijke aanpak. Niet alle pensioenfondsen en PUO’s zijn gestart met deze werkzaamheden. Een bestuurder: ‘Nu is onze uitvoerder aan zet, we wachten maar af waarmee deze komt’. Hierin schuilt een levensgroot risico: op elkaar wachten en ervan uit gaan dat de ander het oplost. En dat terwijl het fonds uiteindelijk verantwoordelijk is en blijft voor het voldoen aan de eisen die DORA stelt. Niet de uitvoerder.
Pensioenfondsen die voorbereidingen treffen zijn vooral operationeel-pragmatisch bezig, waarbij bijvoorbeeld de bestuursadviseur of jurist helpt met het afvinken van de lijsten en bestuurders op cursus gaan met als doel hun ICT kennis te verhogen.
Strategie op de al overvolle bestuurstafel
Om als pensioenfonds echt digitaal weerbaar te zijn, is meer nodig dan het aanpassen van contracten of het opzetten van een risk framework. Het bestuur moet bewust keuzes maken en echt begrijpen wat de impact van ICT is op de doelstellingen en het dagelijks opereren van het fonds. Het is een strategisch onderwerp dat op de bestuurstafel thuishoort.
De timing is spannend. Pensioenfondsen en PUO’s hebben momenteel de handen meer dan vol aan de invoering van de WTP. De beschikbare capaciteit om daarnaast ook DORA op te pakken is beperkt.
ACE helpt pensioenfondsen bij het implementeren van DORA
ACE is een gespecialiseerd adviesbureau dat zich volledig richt op het ondersteunen van financiële instellingen bij de invoering van nieuwe wet- en regelgeving. In kleine teams ondersteund door slimme technologie (waaronder AI). Voor DORA heeft ACE een aanpak ontwikkeld die het mogelijk maakt om snel heel gericht die onderwerpen te identificeren en aan te pakken die specifiek van belang zijn voor het betreffende pensioenfonds.
