Vanaf 17 januari 2025 geldt de Digital Operational Resilience Act (DORA): een nieuwe verordening waar de financiële sector zich stuk op kan bijten. DORA is namelijk de eerste wetgeving op Europees niveau die zich richt op de invoering van een geharmoniseerd en alomvattend kader voor de digitale operationele weerbaarheid van financiële instellingen. DORA gaat hierbij gelden voor nagenoeg alle Europese financiële instellingen, waaronder pensioenfondsen, banken, verzekeraars, crypto-asset providers, beleggingsinstellingen en raakt ook hun IT-providers. Het doel is om financiële instellingen weerbaarder te maken tegen cybercrime dreigingen en om de ICT-risico’s op een integrale wijze aan te pakken en harmoniseren.
Harmonisatie en toepassingsgebied:
In de afgelopen jaren is de ICT-dreiging voor financiële instellingen sterk toegenomen. Door de toenemende afhankelijkheid van (digitale) technologie in de financiële sector, neemt de dreiging van ICT-incidenten en cyberaanvallen toe. DORA draagt zorg voor harmonisatie van de regels met betrekking tot operationele weerbaarheid van de sector en hun ICT-dienstverleners. Mogelijke verstoringen kunnen een behoorlijke impact hebben. Om deze reden is wetgeving essentieel om een weerbare financiële sector te creëren. DORA vereist dat financiële instellingen maatregelen nemen om operationele risico's te voorkomen en beperken. DORA verplicht financiële instellingen om concrete stappen te zetten in hun informatie- en databeveiliging.
Dora kent vijf pijlers:
1) Governance & ICT Risicobeheer
Directie en (senior) management van financiële instellingen worden verantwoordelijk gesteld voor ICT-risicobeheer. Financiële entiteiten dienen een raamwerk voor ICT-risicomanagement te implementeren waarin taken en verantwoordelijkheden op het juiste niveau in de organisatie worden belegd. Het raamwerk dient ervoor te zorgen dat ICT-risico’s worden geïdentificeerd, geclassificeerd en beheerd. Elk jaar dient de financiële entiteit het raamwerk te evalueren en hierover te rapporteren aan de toezichthouder.
2) Incidentenmanagement & Response
Financiële entiteiten dienen procedures in te richten voor het vroegtijdig signaleren, monitoren, classificeren, registreren, rapporteren en mitigeren van ICT-gerelateerde incidenten. Ernstige IT-incidenten dienen volgens een vast format en binnen vastgestelde tijden gemeld te worden aan de toezichthouder.
3) Digitale Operationele Weerbaarheid
Het testen van de ICT-systemen op weerbaarheid voor cyberaanvallen is een integraal onderdeel van DORA. Afhankelijk van de omvang en impact van een financiële entiteit (vanuit proportionaliteitprincipe) wordt de weerbaarheidstest meer of minder omvangrijk. Ook de ICT-ketenpartners kunnen aan de scope van de weerbaarheidstesten worden toegevoegd. Deze testen dienen risk based te zijn uitgevoerd.
4) Beheer van ICT-risico van Third Party Service Providers
DORA legt veel nadruk op het beheersen van ICT-risico's bij uitbesteding aan derden. Bij het uitbesteden van kritieke ICT-systemen of processen blijft de financiële instelling altijd verantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van data en systemen. Om het third party risk te verminderen moeten financiële instellingen maatregelen nemen rondom de selectie en contractering van leveranciers en het monitoren en bewaken van de leveranciers. Een concreet voorbeeld is dat financiële instellingen een Register of Information dienen op te stellen waarin contractuele afspraken met third parties zijn opgenomen.
5) Informatie-uitwisseling
Financiële instellingen mogen informatie uitwisselen om de digitale operationele weerbaarheid van de financiële entiteiten te verbeteren. Financiële instellingen dienen hierbij wel rekening te houden met bescherming van persoonsgegevens, mededinging en vertrouwelijkheid van bedrijfsinformatie.
Hoe kan IG&H helpen met DORA?
IG&H heeft ervaring met het implementeren van nieuwe regelgeving. Onze experts kunnen je helpen bij de doorvertaling van de nieuwe regelgeving binnen jouw eigen organisatie en je adviseren bij de (ICT-)transformatie. Wil je meer weten of DORA en hoe je dit in de praktijk kunt brengen, neem dan contact met ons GRC team op:
Klaske Visser
Senior Manager Financial Services
T: +31 6 12 88 74 72
Comments