Wie handelt via een beurs, MTF of OTF ziet meestal alleen snelheid, prijs en liquiditeit. Maar achter elk orderboek draait een keten van systemen die onder stress foutloos moet blijven werken. De AFM waarschuwt dat ICT-storingen, cyberincidenten en falende systemen het marktvertrouwen direct raken. Onder DORA, dat sinds januari 2025 volledig geldt, betekent dat voor handelsplatformen een aantoonbaar strakker ICT-risicobeheerraamwerk. En die lat ligt niet alleen hoger voor het platform zelf, maar ook voor aangesloten partijen en kritieke leveranciers in de hele kapitaalmarktketen.
Waarom de AFM nu nadrukkelijk op DORA duwt
DORA is ontworpen om digitale operationele weerbaarheid op hetzelfde niveau te brengen als financiële soliditeit. De kern: niet alleen beleid op papier, maar meetbare beheersing van risico’s, aantoonbare testen, strakke incidentprocessen en grip op uitbesteding. In een thematische verkenning bij handelsplatformen concludeert de AFM dat er stappen zijn gezet, maar dat aanscherping nodig is om marktcontinuïteit te borgen, zeker bij verstoringen die snel kettingreacties kunnen veroorzaken.
Voor u als belegger of ondernemer is dit relevant omdat uitval van handelsinfrastructuur gevolgen kan hebben voor uitvoering, prijsontdekking, hedges, marginverplichtingen en zelfs voor het vertrouwen in de markt. Voor aangesloten brokers en market makers vertaalt het zich naar zwaardere eisen aan eigen procedures én aan de manier waarop zij de weerbaarheid van het platform en diens leveranciers meewegen.
Concreet: welke governance- en control-eisen strakker worden
Bestuur en verantwoordelijkheid: “aantoonbaar in control”
DORA vraagt om duidelijke eigenaarschap: bestuur en senior management moeten sturen op ICT-risico’s alsof het kernrisico’s zijn. In de praktijk betekent dit dat handelsplatformen hun governance moeten versterken met heldere rollen, besluitvorming over risicotoleranties en regelmatige rapportages die verder gaan dan technische uptime-statistieken.
- Expliciete ICT-risicoappetite en bijbehorende limieten voor beschikbaarheid, integriteit en hersteltijden.
- Managementinformatie die incidenttrends, kwetsbaarheden, testresultaten en third-party risico’s samenbrengt.
- Onafhankelijke toetsing van controls en aantoonbare opvolging van bevindingen.
Incidentmanagement en meldplichten: sneller, strakker, beter gedocumenteerd
Toezichthouders kijken scherp naar incidenten die de markt kunnen verstoren: van DDoS en ransomware tot softwarefouten in matching engines, datakwaliteitsissues en falende connectiviteit. DORA legt nadruk op classificatie, escalatie, communicatie en herstel, inclusief het vastleggen van lessen en structurele verbeteringen.
Handelsplatformen moeten kunnen aantonen dat processen niet alleen bestaan, maar ook werken onder druk. Aangesloten partijen merken dit doordat platforms vaker eisen gaan stellen aan incidentcommunicatiekanalen, testparticipatie en operationele afstemming rond marktopeningen, volatiliteit en fallback-scenario’s.
Continuïteit en herstel: niet alleen “back-up”, maar end-to-end marktwerking
Marktcontinuïteit betekent dat cruciale functies beschikbaar blijven of binnen acceptabele tijd worden hersteld. De AFM legt de vinger bij de praktische invulling: recoverydoelen, afhankelijkheden en het regelmatig testen van scenario’s die in echte stressmomenten optreden. Denk aan piekvolumes, gelijktijdige componentstoringen of uitval van een externe netwerkprovider.
- Realistische scenario-oefeningen die de hele handelsketen raken, inclusief marktdata, orderroutering en clearing-koppelingen.
- Herstelplannen met duidelijke prioriteiten: welke markten, welke functies, welke deelnemers eerst.
- Tests die niet alleen technisch zijn, maar ook operationeel: mensen, processen en communicatie.
Waar toezichthouders de grootste risico’s zien
1) Uitval en verstoringen met markteffect
Een handelsplatform is een systeemrisico op microniveau. Zelfs korte onderbrekingen kunnen leiden tot brede onzekerheid over prijzen en uitvoering. Toezichthouders letten daarom op single points of failure, onvoldoende capacity planning en te optimistische aannames over herstel.
2) Cyberrisico: van preventie naar weerbaarheid
Cyberaanvallen zijn niet meer alleen een IT-probleem, maar een continuïteitsrisico. DORA dwingt organisaties om structureel te testen, kwetsbaarheden te beheren en detectie en respons te professionaliseren. Voor platforms betekent dit vaak hogere investeringen in monitoring, segmentatie, identity controls en crisis-oefeningen.
3) Third-party en outsourcing: ketenrisico wordt hoofdthema
Veel kritieke functies leunen op leveranciers, bijvoorbeeld cloud, connectivity, software, security tooling en dataproviders. De AFM benadrukt dat platforms niet kunnen volstaan met contracten en SLA’s; er moet doorlopend zicht zijn op prestaties, risico’s en exit-opties. Voor aangesloten partijen is dit belangrijk omdat een storing bij een leverancier van het platform direct de handel kan raken.
Gevolgen voor kosten, compliance en operationele risico’s in de keten
De rekening van DORA komt vooral terecht bij governance, testen, rapportage en vendor management. Dat zijn structurele kosten. Wij verwachten dat handelsplatformen dit vertalen naar:
- Meer compliance- en auditcapaciteit, inclusief bewijsvoering en periodieke control-testing.
- Extra investeringen in redundantie, monitoring en crisismanagement.
- Strengere onboarding- en technische eisen voor aangesloten partijen, met meer testmomenten en operationele afstemming.
- Meer druk op leverancierscontracten, inclusief auditrechten, incidentmeldingen en exit-plannen.
Voor beleggers verandert er niet direct iets aan de regels rond handelen zelf, maar u kunt wel vaker operationele maatregelen zien, zoals geplande tests, tijdelijke beperkingen bij incidenten en snellere communicatie over verstoringen. Voor ondernemers en professionele partijen die afhankelijk zijn van markttoegang betekent het dat operationeel risico nadrukkelijker meeweegt in de keuze voor platformen, brokers en infrastructuurpartners.
Meer achtergrond en de kernpunten van de toezichthouder vindt u bij de publicatie van de AFM over ICT-risicobeheersing onder DORA.
