Europese captives moeten mogelijk voldoen aan hoogste cyberbeveiligingsnormen

In Europa gevestigde captives krijgen te maken met een extra belasting op het gebied van regelgeving wanneer de nieuwe cyberbeveiligingsregels van de EU voor financiële diensten in januari van start gaan. Daardoor kunnen zij aan dezelfde normen worden gehouden als verzekeraars.Hoewel captives op een meer bescheiden schaal opereren dan verzekeraars of herverzekeraars zullen zij moeten voldoen aan de Digital Operational Resilience Act (DORA) en mogelijk aan de hoogst mogelijke normen.

DORA, die ook zal bijdragen aan de regulering van bedrijven die informatie- en communicatietechnologieën (ICT) leveren aan de financiële dienstverleningssector, bevat een proportionaliteitsprincipe. Dit principe is erop gericht om kleinere verzekeraars minder strenge eisen op te leggen op het gebied van cyberbeveiliging, in een poging om de nalevingskosten voor nieuwe verzekeraars en regionale spelers te verlagen.Maar Finn-Erik Langeggen, directeur ESG en operationeel riskmanagement bij het in Stockholm gevestigde adviesbureau advisense, waarschuwt dat captives mogelijk niet profiteren van het proportionaliteitsprincipe, omdat cyberrisico’s bij hun moedermaatschappijen zullen worden meegerekend.

“Captives bevinden zich in een lastige positie omdat ze vaak geen eigen IT-afdeling hebben”, zegt Langeggen. “Misschien hoeft de multinational die eigenaar is van een captive niet te voldoen aan DORA, maar aan NIS2 binnen de EU. De captive zal echter wel moeten voldoen. Het kan zijn dat ze [captives] in plaats van het proportionaliteitsprincipe binnen DORA te volgen, de hoogste regelnaleving moeten implementeren, rekening houdend met de risico’s van het hele bedrijf, en dat zal doorsijpelen naar de captive.”

Dit zou aanzienlijke nalevingskosten met zich meebrengen. DORA bepaalt dat financiële instellingen aan specifieke eisen moeten voldoen bij het beheren van ICT-risico’s. Ze moeten strategieën beoordelen en evalueren om de risico’s te managen. Ze moeten de huidige strategieën, procedures en praktijken beoordelen en evalueren. Advocatenkantoor Milliman zei onlangs dat risicofuncties hierbij betrokken moeten worden, ook al komt het meeste werk voor rekening van IT-afdelingen.

DORA legt ook regelmatige test- en rapportageregels op om ervoor te zorgen dat toezichthouders op de hoogte blijven van cyberbeveiliging bij onder toezicht staande entiteiten. Niet-naleving van de nieuwe regels zal hard aankomen. Toezichthouders kunnen boetes opleggen tot 2% van de wereldwijde omzet van het bedrijf, of €1 miljoen in het geval van individuen. Maar deze boetes variëren binnen de EU en zijn in sommige jurisdicties veel hoger. In Luxemburg, een belangrijke jurisdictie voor captives, kunnen financiële autoriteiten boetes opleggen tot 10% van de jaaromzet of €5 miljoen aan individuen.

Het lastigste en mogelijk meest ontwrichtende aspect van DORA is echter de regel die vereist dat onder toezicht staande entiteiten ICT-risico’s van derden beheren. Experts zeggen dat dit kan betekenen dat contracten met leveranciers van ICT-diensten, zoals cloud computing, opnieuw moeten worden besproken en dat ze moeten worden betrokken bij het testen en rapporteren van taken die worden uitgevoerd door onder toezicht staande entiteiten, waaronder captives.

De grote uitdaging zal zijn om grote ICT-dienstverleners in te schakelen. Veel bedrijven contracteren diensten in bundels van een paar zogenaamde cloud hyperscalers, waaronder Google, Amazon, Microsoft en Meta. Experts waarschuwen dat zelfs grote verzekeraars niet de kracht zullen hebben om deze bedrijven aan tafel te krijgen. De uitdaging zal duidelijk nog groter zijn voor captive bedrijven.

Bedrijven die nog geen significante vooruitgang hebben geboekt met het aanpassen van hun IT-processen aan de nieuwe regels, zullen met de grootste problemen te maken krijgen. Marktbronnen zeggen dat de grootste verzekeraars hier al een paar jaar mee bezig zijn, maar sommige van de kleinste spelers kunnen moeite hebben om hun achterstand in te halen wanneer de nieuwe richtlijn op 25 januari 2025 van kracht wordt.“Ik denk niet dat kleine captives en pensioenfondsen erg blij zijn met DORA, omdat ze er mogelijk mee te maken krijgen als een derde partij risico van hun moederbedrijven. Middelgrote en grote bedrijven begrijpen echter de relevantie ervan”, aldus Langeggen.