Hoewel captives geen specifieke uitzondering hebben op de nieuwe EU-regels voor cyberbeveiliging die in januari van kracht worden door de Digital Operational Resilience Act (DORA), zouden ze moeten profiteren van de ingebouwde proportionaliteit van het regime, dat minder eisen stelt aan kleinere entiteiten. Dat stelt Eiopa, de Europese autoriteit voor de verzekerings-m en pensioensector.
Vanaf 17 januari gelden er strengere nieuwe cyberbeveiligingsregels voor Europese financiële dienstverleners en ICT-leveranciers (informatie- en communicatietechnologie) onder de DORA, en sommige experts hebben hun bezorgdheid geuit dat captives onder het regime aan de hoogste cyberbeveiligingsnormen moeten voldoen.
Maar de toezichthouder verklaart dat er weliswaar geen specifieke, minder strenge regels voor captives onder DORA zijn, maar dat het ingebouwde proportionaliteitsprincipe van de regeling “sterk is opgezet” en “de meeste eisen richt op kritieke of belangrijke functies en de ICT-systemen die deze ondersteunen”.
DORA heeft geen specifieke aanpak met betrekking tot captives. Er moet echter worden opgemerkt dat DORA een sterk proportionaliteitsprincipe in zich heeft. Aangezien captives typisch entiteiten zijn met een eenvoudiger bedrijfsmodel, wordt verwacht dat hun ICT-landschap eenvoudiger zal zijn dan dat van andere complexere financiële entiteiten, waardoor hun nalevingskosten zullen dalen.”