Terug
Blog 11-09-23

Beginnen met de implementatie van de Digital Operational Resilience Act (DORA)

In het kort

Vanaf 2025 zijn financiële instellingen verplicht om te voldoen aan de Digital Operational Resilience Act (DORA). Maar wat houdt DORA precies in? Welke eisen worden gesteld en wat voor impact heeft dit?

Groeiende afhankelijkheid

DORA biedt een alomvattende aanpak voor het beheer van ICT-gerelateerde risico’s. Deze nieuwe Europese wetgeving is ontstaan als reactie op de groeiende afhankelijkheid van bedrijven van digitale systemen en de toenemende dreiging van cyberaanvallen en datalekken.

Met de invoering van de DORA-verordening zet de Europese Unie een stap voorwaarts in het versterken van de veerkracht van de financiële sector tegen aanzienlijke operationele verstoringen die worden veroorzaakt door digitale bedreigingen.

Vanaf 17 januari 2025 moeten financiële instellingen voldoen aan de DORA-verordening. Deze regelgeving is van toepassing op verschillende soorten financiële entiteiten in de EU, waaronder banken, verzekeraars, crowdfundingdienstverleners, cryptodienstverleners, pensioenfondsen en beleggingsondernemingen.

DORA legt specifieke eisen en richtlijnen op aan bedrijven in de financiële sector om ervoor te zorgen dat hun digitale systemen en infrastructuur adequaat worden beveiligd en beheerd. Hierdoor kunnen organisaties tijdig en doeltreffend reageren op cyberincidenten en datalekken. Deze wetgeving bereidt bedrijven in de nabije toekomst beter voor op digitale bedreigingen en de gevolgen daarvan.

Belangrijkste vereisten van DORA:

  1. Herstructurering van organisatie en bestuur: DORA stelt specifieke bestuurlijke en organisatorische eisen voor het monitoren van ICT-risico’s.
  2. Implementatie van een ICT-risk management framework: Financiële instellingen moeten een ICT-risk management framework implementeren als onderdeel van hun algemene risicobeheersysteem.
  3. ICT-incidentrapportage: Er moet een duidelijke procedure worden geïmplementeerd voor het melden van incidenten die verband houden met ICT.
  4. Digital operationele veerkrachtstrategie: Maatregelen moeten worden genomen om cyberincidenten te voorkomen, op te sporen, de schade te beperken en een snel herstel te waarborgen.
  5. Toezicht op ICT-risicobeheer bij derde partijen: Financiële instellingen dragen de verantwoordelijkheid voor de ICT-risico’s van derde partijen en moeten deze risico’s identificeren en monitoren.

Om klaar te zijn voor DORA is het belangrijk om tijdig te beginnen met de implementatie, ook al lijkt januari 2025 nog ver weg. DORA omvat verschillende complexe aspecten en vereist aanpassingen binnen diverse afdelingen van een organisatie.

Ten eerste is het van belang om te bepalen welke personen binnen de organisatie betrokken zijn bij de onderwerpen die door DORA worden behandeld. Breng hen op de hoogte van de nieuwe regelgeving en zorg ervoor dat ze zich inlezen in het onderwerp. Zodra de organisatie weet wie betrokken is en verantwoordelijk is voor de implementatie, kunnen er geleidelijk verdere stappen worden ondernomen.

Het is ook cruciaal om snel te beoordelen in hoeverre de organisatie al voldoet aan de eisen van DORA. Als er nog hiaten zijn, is het belangrijk om te identificeren welke systemen, middelen of procedures nodig zijn om aan de vereisten te voldoen. Zodra deze zijn vastgesteld, kan de organisatie samen met de verantwoordelijke personen intern de verordening implementeren.

Toelichting AFM (PDF)