De Europese Unie (EU) maakt zich ernstige zorgen om de IT-risico’s en de cyberveiligheid van organisaties in de financiële sector. Zij reageert met de Digital Operational Resilience Act (hierna: DORA) op de steeds verdergaande digitalisering binnen de financiële sector en de toenemende dreiging vanuit (cyber)criminele organisaties en/of vijandige mogendheden.
Daarnaast baren kritieke ketenafhankelijkheden steeds meer zorgen: je kunt als financiële organisatie je IT-risico’s zelf wel goed beheersen, haar hoe zit dat bijvoorbeeld bij je leveranciers en andere ketenpartners? Financiële instellingen en hun dienstverleners zijn daarom vanaf 17 januari 2025 verplicht om aan de DORA te voldoen. In deze blog leest u wat u wat u absoluut moet weten over DORA.
1. Waarom is DORA nodig?
DORA is gericht op het harmoniseren van cyberveiligheid bij alle Europese instellingen en het scheppen van een basiskader voor de gehele sector. In Nederland is dit niveau over het algemeen hoger dan gemiddeld, maar security stopt niet bij de landsgrenzen.
2. Is DORA verplicht?
Ja. DORA is verplicht voor alle financiële instellingen binnen de EU. Het is Europese wetgeving die direct overgenomen wordt door de EU-lidstaten.
3.Wat als ik niets doe aan DORA?
Niets doen aan DORA is geen reële optie, dit kan tot serieuze gevolgen voor uw bedrijfsvoering leiden. Daarnaast maakt DNB DORA onderdeel van haar toezicht en bestaande good practices. Sancties zullen aansluiten op bestaande toezichtsinstrumenten van de DNB. Als organisatie kan je daarom beter voor jezelf vaststellen dat je aan de DORA voldoet.
4. Waar stelt DORA eisen aan?
DORA bevat een zestal thema’s te weten:
- IT-governance
- IT-risico management
- IT-incident management
- Digital resilience testing
- Derde partijen risicomanagement
- Informatie delen
Een aantal onderwerpen binnen deze thema’s kunnen direct impact hebben:
Inzicht in de gehele uitbestedingsketen: DORA kent een groot aantal eisen op het gebied van derde partijen risicomanagement, waarvan vele aanscherpingen zijn op bestaande wetgeving. Zo dient de organisatie niet alleen zijn derde partijen in kaart te hebben, ook de risico’s die samenwerkingspartners van de derde partij met zich meebrengen dient u af te wegen. Iedere financiële instelling moet dus de gehele uitbestedingsketen in kaart hebben.
Incidenten meldplicht: Onder DORA moeten ICT-incidenten gemeld gaan worden bij een centrale toezichthouder: in Nederland is dit de DNB. Voor financiële instellingen is dit in Nederland niet nieuw, in Europa is dit wel een nieuwe ontwikkeling. Onder DORA moet elk incident dat impact heeft op de dienstverlening van de financiële instelling gemeld worden, hiermee wordt de eis breder getrokken dan de huidige DNB eis.
Meldplicht derde partijen: Volgens DORA moet elke nieuwe overeenkomst met een derde partij gemeld worden bij de DNB. Daarnaast moeten organisaties een register bij houden met alle derde partijen waar overeenkomsten mee zijn afgesloten.
Eisen aan digital resilience testing: DORA stelt diverse eisen op het gebied van digital resilience testing. Financiële instellingen moeten beschikken over een testprogramma waar onder andere hackers testen, fysieke veiligheidstesten en digitale kwetsbaarheidscans moeten worden uitgevoerd. De resultaten van deze tests moeten kunnen worden overgeleverd aan de toezichthouder.
5. Wat zijn de nieuwe normen van DORA?
De thema’s die DORA behandelt zullen voor veel Nederlandse instellingen niet nieuw zijn. Wel worden deze onderwerpen verder uitgewerkt dan in normenkaders zoals de ISO27001. Hierdoor moeten alle organisaties binnen de financiële sector controleren of de diepgang van hun controls dermate aantoonbaar is, dat zij voldoen aan DORA.
6. Wat moet ik als bestuurder met DORA?
DORA eist betrokkenheid van de bestuurder. Meer dan dat nu in wetgeving is vastgelegd. Het bestuur dient nauw betrokken te zijn op thema’s zoals business continuïteit, risicomanagement en derde partijen management. Enkel per memo informeren van het bestuur is volgens DORA niet meer voldoende.
7. Hoe gaat het toezicht op DORA er uit zien?
Hoe het toezicht er in de praktijk uit gaat zien is nog niet helemaal helder. Wel is bekend dat DNB de toezichthouder wordt en dat zij DORA zullen opnemen in de bestaande good practices. DNB heeft de mogelijkheid sancties op te leggen in het geval van non-compliance met DORA.
DORA maakt in de regelgeving geen inhoudelijk onderscheid tussen een pensioenfonds, verzekeraar of bank. De grootste veranderingen die DORA met zich meebrengt beschrijven wij onder ‘Waar stelt DORA eisen aan’. De impact van deze wijzigingen verschilt per organisatie, bijvoorbeeld in de mate van outsourcing en regie op ketenpartijen.
Meer weten over DORA? Neem dan contact met mij op via: nino.vanleeuwen@vka.nl