‘Bespreek doel en uitwerking regelgeving eerder met elkaar’

11/07/22

Europese ‘Digital Operational Resilience Act’

Regelgevers moeten eerder met marktpartijen overleggen over nieuwe regelgeving, zodat er sneller duidelijkheid bestaat over de invulling van regelgeving en het maatschappelijk belang ervan. Dat stelt Anthony Kruizinga, PwC-specialist op het gebied van risicomanagement en regelgeving. ‘Ik vind dat regelgeving heel legitiem kan zijn om een maatschappelijk belang te beschermen. Maar de uitwerking en uitvoering van regels kan vaak beter.’ Naar aanleiding van de publicatie ‘Shining a spotlight on DORA’, analyseert Kruizinga in dit artikel de aanstaande Europese Digital Operational Resilience Act (DORA) aan de hand van een raamwerk om het doel, de effectiviteit en de efficiëntie van regelgeving te beoordelen.

Uitwerking en uitvoering van regelgeving kan beter

Kruizinga zegt niet per definitie te pleiten voor minder regelgeving. ‘Het woord lobbyen heeft voor sommigen een negatieve connotatie en wordt vaak geassocieerd met pogingen om regelgeving af te zwakken of helemaal van tafel te krijgen, ten gunste van marktpartijen. Ik vind dat regelgeving juist heel legitiem kan zijn om een maatschappelijk belang te beschermen. Maar de uitwerking en de uitvoering van regels kan vaak beter. Net zoals de samenhang met andere regelgeving. Als regelgevers en ‘gebruikers’ al tijdens de ontwerpfase om tafel gaan, kan dat efficiëntie en effectiviteit vergroten. Ik vind dat regelgeving niet altijd het juiste antwoord is. Zeker in situaties waarin de markt ook zelf maatregelen kan nemen om het publieke belang op risico’s te beschermen. Dan zijn regels minder nodig.’

Kijk anders naar wetgeving

Volgens Kruizinga biedt DORA in de loop van 2022 of uiterlijk begin 2023 Europese regulering die de risico’s van nieuwe technologie, cyberaanvallen en afhankelijkheden van leveranciers van ICT-diensten in de financiële sector beter wil beheersen. ‘Het is voor iedereen zinvol op een andere manier naar wetgeving te kijken. Dat maakt het oordeel over die wetgeving wellicht ook anders. Laten we wel zijn: de meeste instellingen staan er niet meteen op te wachten als er nieuwe wetgeving aankomt, omdat de impact daarvan vaak groot is. Denk aan de kosten van compliance. En regelgevers grijpen soms te snel naar het instrument van nieuwe regels. Het framework dat wij ontwikkeld hebben, biedt in wezen een ander perspectief: een prima agenda voor een gesprek tussen - in dit geval - financiële instellingen en regelgevers. Hopelijk met een betere uitkomst.’

DORA breidt toezicht uit buiten financiële sector

DORA richt zich vooral op de financiële sector en heeft als doel de regels in de Europese Unie op het gebied van van digitale weerbaarheid te harmoniseren. De nieuwe verordening, die mogelijk eind dit jaar wordt ingevoerd, stelt ook eisen aan zogenoemde ‘cruciale derde partijen’ die digitale informatiesystemen en -diensten leveren aan instellingen. Dat betekent dat het toezicht zich uitbreidt tot buiten de financiële sector. Kruizinga is daar voorstander van. ‘Wetgeving is nu sterk gericht op de financiële sector. Dit is mogelijk een eerste stap naar meer ecosysteemgericht denken en het bevordert het gelijke speelveld voor de verschillende partijen die actief zijn in het financiële ecosysteem.’

Bescherming publieke belang

Anthony Kruizinga is positief over DORA als het gaat om het beschermen van het publieke belang (stap een en twee van het raamwerk). ‘Financiële instellingen zijn nauw met elkaar verbonden en hebben een groot maatschappelijk belang. Het waarborgen van het vertrouwen van de consument en de investeerders in de sector is enorm belangrijk. Het risico van technologische verstoringen en daarmee discontinuïteit van financiële dienstverlening is te groot om het volledig aan het eigen initiatief van de marktdeelnemers over te laten.’

Digitale weerbaarheid van financiële organisaties

Kruizinga kijkt minder positief naar de beoogde effectiviteit en efficiëntie van DORA. ‘Een van de doelen van de wet zou het creëren van duidelijkheid en consistentie moeten zijn, maar ik weet niet of dat gaat lukken, omdat er al veel andere regelgeving is die raakt aan de digitale weerbaarheid van financiële organisaties. Ik verwacht daarom dat er enige verwarring ontstaat over wat niet en wat wel onder DORA valt. Zoals wat de relatie is tussen de vereisten van DORA en andere regelgeving, en wat partijen exact moeten doen om zich eraan te houden. Het zou effectiever en efficiënter zijn één begrijpelijk, samenhangend en overkoepelend regelgevingskader voor digitale activiteiten op EU-niveau te hebben, en bij voorkeur niet specifiek voor de financiële sector maar over alle sectoren heen.’