Wat is De Digital Operational Resilience Act (DORA)?
DORA, officieel Verordening (EU) 2022/2554, adresseert een kritieke leegte in de EU-financiële regelgeving. Voor de invoering van DORA waren financiële instellingen voornamelijk gericht op het toewijzen van kapitaal om potentiële verliezen te dekken, zonder voldoende aandacht te besteden aan operationele veerkracht in het geval van ICT-incidenten.
Met DORA zijn financiële instellingen verplicht om strikte richtlijnen te volgen om zich te beschermen tegen ICT-gerelateerde incidenten. Dit omvat maatregelen voor bescherming, detectie, herstel en reparatie, waardoor de organisatie beter voorbereid is op digitale dreigingen.
Waarom is DORA Belangrijk?
De noodzaak voor DORA is evident door de toenemende afhankelijkheid van technologie in de financiële sector. Cyberaanvallen en andere storingen kunnen niet alleen individuele organisaties, maar ook de stabiliteit van het bredere financiële systeem ondermijnen. DORA zorgt ervoor dat de operationele veerkracht niet alleen afhankelijk is van financiële buffers, maar ook van het vermogen om ICT-onderbrekingen effectief te beheersen en te herstellen.
Doelgroep van DORA
DORA richt zich op een breed scala aan financiële instellingen, waaronder:
- Crowdfundingaanbieders
- Beleggingsfirma’s
- Verzekeraars
- Handelsplatforms
De regelgeving is van toepassing op alle organisaties binnen deze sectoren die actief zijn in de EU, met als doel hen te ondersteunen in het verbeteren van hun risicomanagementprocessen.
Belangrijke Punten van DORA
1. Versterking van Risicobeheer
DORA legt de nadruk op verbeterde risicobeheerprocessen, waarbij organisaties gedetailleerde strategieën moeten ontwikkelen voor het omgaan met ICT-risico’s.
2. Incident Management
Organisaties zijn verplicht om effectieve procedures op te zetten voor het beheren van ICT-incidenten, inclusief het rapporteren aan bevoegde autoriteiten.
3. Testen van Systemen
Regelmatige tests van operationele veerkracht zijn verplicht, zodat organisaties hun ICT-systemen kunnen evalueren en verbeteren.
4. Toezicht op Kritieke ICT-Dienstverleners
DORA introduceert strengere eisen voor toezicht op ICT-derde partijen, wat inhoudt dat contractuele afspraken tussen financiële instellingen en deze dienstverleners duidelijk moeten zijn.
5. Verbetering van Leveringsketenbeveiliging
DORA moedigt organisaties aan om de beveiliging van hun toeleveringsketens te versterken, met name tegen de risico’s van derden.
6. Samenwerking en Toezicht
De Europese Toezichthoudende Autoriteiten (EBA, EIOPA en ESMA) hebben recent een Directeur voor DORA-gemeenschappelijk toezicht aangesteld, om een pan-Europees toezichtkader te implementeren.
7. Technische Standaarden en Ontwikkelingen
Op 18 april 2024 hebben de ESAs een consultatiedocument gepubliceerd over draft regulatory technical standards (RTS) voor toezichtactiviteiten op ICT-derde dienstverleners, met een deadline voor indiening bij de Europese Commissie op 17 juli 2024.
8. Relatie met andere Regelgeving
Organisaties die DORA implementeren, moeten ook de ontwikkelingen rond de voorgestelde Financial Data Access (FiDA) verordening volgen, die de beveiliging van klantgegevens in de financiële sector versterkt.
9. Deadline voor Naleving
Organisaties hebben tot december 2024 om te voldoen aan de eisen van DORA, met een verplichte implementatiedatum van januari 2025. Toezichthouders zoals de AFM en DNB zullen toezicht houden op de naleving.
DORA is een belangrijke stap naar een veiligere en veerkrachtigere financiële sector. Door de focus op ICT-risico’s en robuuste governance-structuren biedt DORA een kader waarmee organisaties zich beter kunnen voorbereiden op de uitdagingen van de digitale toekomst. Het is cruciaal dat financiële instellingen deze wetgeving serieus nemen en tijdig aanpassingen doorvoeren om zowel aan wettelijke vereisten te voldoen als het vertrouwen van klanten te behouden.