Wat is De Digital Operational Resilience Act (DORA)?

DORA, officieel Verordening (EU) 2022/2554, adresseert een kritieke leegte in de EU-financiële regelgeving. Voor de invoering van DORA waren financiële instellingen voornamelijk gericht op het toewijzen van kapitaal om potentiële verliezen te dekken, zonder voldoende aandacht te besteden aan operationele veerkracht in het geval van ICT-incidenten.

Met DORA zijn financiële instellingen verplicht om strikte richtlijnen te volgen om zich te beschermen tegen ICT-gerelateerde incidenten. Dit omvat maatregelen voor bescherming, detectie, herstel en reparatie, waardoor de organisatie beter voorbereid is op digitale dreigingen.

Waarom is DORA Belangrijk?

De noodzaak voor DORA is evident door de toenemende afhankelijkheid van technologie in de financiële sector. Cyberaanvallen en andere storingen kunnen niet alleen individuele organisaties, maar ook de stabiliteit van het bredere financiële systeem ondermijnen. DORA zorgt ervoor dat de operationele veerkracht niet alleen afhankelijk is van financiële buffers, maar ook van het vermogen om ICT-onderbrekingen effectief te beheersen en te herstellen.

Doelgroep van DORA

DORA richt zich op een breed scala aan financiële instellingen, waaronder:

  • Crowdfundingaanbieders
  • Beleggingsfirma’s
  • Verzekeraars
  • Handelsplatforms

De regelgeving is van toepassing op alle organisaties binnen deze sectoren die actief zijn in de EU, met als doel hen te ondersteunen in het verbeteren van hun risicomanagementprocessen.

Belangrijke Punten van DORA

1. Versterking van Risicobeheer

DORA legt de nadruk op verbeterde risicobeheerprocessen, waarbij organisaties gedetailleerde strategieën moeten ontwikkelen voor het omgaan met ICT-risico’s.

2. Incident Management

Organisaties zijn verplicht om effectieve procedures op te zetten voor het beheren van ICT-incidenten, inclusief het rapporteren aan bevoegde autoriteiten.

3. Testen van Systemen

Regelmatige tests van operationele veerkracht zijn verplicht, zodat organisaties hun ICT-systemen kunnen evalueren en verbeteren.

4. Toezicht op Kritieke ICT-Dienstverleners

DORA introduceert strengere eisen voor toezicht op ICT-derde partijen, wat inhoudt dat contractuele afspraken tussen financiële instellingen en deze dienstverleners duidelijk moeten zijn.

5. Verbetering van Leveringsketenbeveiliging

DORA moedigt organisaties aan om de beveiliging van hun toeleveringsketens te versterken, met name tegen de risico’s van derden.

6. Samenwerking en Toezicht

De Europese Toezichthoudende Autoriteiten (EBA, EIOPA en ESMA) hebben recent een Directeur voor DORA-gemeenschappelijk toezicht aangesteld, om een pan-Europees toezichtkader te implementeren.

7. Technische Standaarden en Ontwikkelingen

Op 18 april 2024 hebben de ESAs een consultatiedocument gepubliceerd over draft regulatory technical standards (RTS) voor toezichtactiviteiten op ICT-derde dienstverleners, met een deadline voor indiening bij de Europese Commissie op 17 juli 2024.

8. Relatie met andere Regelgeving

Organisaties die DORA implementeren, moeten ook de ontwikkelingen rond de voorgestelde Financial Data Access (FiDA) verordening volgen, die de beveiliging van klantgegevens in de financiële sector versterkt.

9. Deadline voor Naleving

Organisaties hebben tot december 2024 om te voldoen aan de eisen van DORA, met een verplichte implementatiedatum van januari 2025. Toezichthouders zoals de AFM en DNB zullen toezicht houden op de naleving.

 

DORA is een belangrijke stap naar een veiligere en veerkrachtigere financiële sector. Door de focus op ICT-risico’s en robuuste governance-structuren biedt DORA een kader waarmee organisaties zich beter kunnen voorbereiden op de uitdagingen van de digitale toekomst. Het is cruciaal dat financiële instellingen deze wetgeving serieus nemen en tijdig aanpassingen doorvoeren om zowel aan wettelijke vereisten te voldoen als het vertrouwen van klanten te behouden.

© 2025 Netaspect All rights reserved