De Europese Unie staat op het punt om een nieuwe wet te introduceren die de financiële sector zal transformeren. De Digital Operational Resilience Act, oftewel DORA, is bedoeld om de digitale systemen en infrastructuur van financiële instellingen te beveiligen en te beheren. Het doel is duidelijk: voorkomen dat financiële betalingssystemen stil komen te liggen bij cyberbeveiligingsincidenten of ICT-storingen.
Voor welke partijen is DORA van belang?
DORA is van toepassing op een breed scala aan financiële instellingen, waaronder banken, verzekeraars, pensioenfondsen, crowdfunding-diensten, handelsplatformen, crypto-aanbieders en beleggingsondernemingen. Opvallend is dat ook kritieke ICT-leveranciers die een cruciale rol spelen in de betalingsketen zich aan DORA-richtlijnen moeten houden.
Wat zijn de 6 belangrijkste pijlers van DORA?
DORA bevat zes essentiële pijlers die financiële instellingen moeten aanpakken om aan de wet te voldoen. Aan alle pijlers wordt in meer of mindere mate eisen gesteld in de huidige frameworks als DNB Good Practice en EBA-Guidelines.
DORA stelt echter meer en concretere eisen aan deze onderwerpen. Bij de onderstaande pijlers geven we op hooflijnen aan wat met DORA wordt toegevoegd ten opzichte van de huidige vereisten:
1. Governance: Strengere regie op de organisatorische governance rondom ICT-risico’s. Zo wordt er onder andere eisen gesteld aan de kennis van hoger management ten aanzien van ICT en informatiebeveiliging zodat zij een juiste afweging kunnen maken ten aanzien van risico’s omdat er meer nadruk komt te liggen op de verantwoordelijkheid van management ten aanzien van goed beleid en risicomanagement.
2. ICT Risicobeheersing: DORA schrijft voor dat de scope van risicobeheersing alle assets van een organisatie moeten omvatten. Ook worden er specifieke eisen gesteld aan het risico register en aan het opvolgen van audit bevindingen.
3. Classificatie en Melding van Incidenten: Er komen specifieke eisen voor het classificeren en registreren van incidenten. Tevens moeten er processen worden ingericht voor het melden van incidenten aan toezichthouders.
Periodiek zullen de toezichthouders een overzicht van alle gemelde incidenten anonimiseren en delen met de organisaties in de branche.
4. Beheer van Leveranciers in de Keten: Het vastleggen en delen van registers van (kritieke) leveranciers met de toezichthouders wordt vanuit DORA geëist. Ook de verantwoordelijkheid voor informatiebeveiliging in de keten neemt toe waarbij leveranciersbeoordelingen en ketentesten vereist worden.
5. Testen van Operationele Weerbaarheid: Om de operationele weerbaarheid te testen vraagt DORA om een dreigingsbeeld specifiek voor jouw organisatie te maken en deze vervolgens te testen. De beveiligings- en continuïteitsmaatregelen moeten worden getest voor heel de betalingsketen.
6. Delen van Informatie over Dreigingen: DORA verwacht dat informatie over dreigingen, trends en daadwerkelijke cyberaanvallen met branchegenoten wordt gedeeld bijvoorbeeld via fora.
Proportionaliteit in DORA
Een positief aspect van DORA is dat het rekening houdt met het proportionaliteitsbeginsel, waarbij de toepassing van de regels kan variëren op basis van de omvang en het risicoprofiel van de instellingen. Het is echter nog onduidelijk hoe deze proportionaliteit zal worden bepaald, met toezichthouders als de uiteindelijke beslissers.
Toezicht en Implementatie
DNB zal toezicht houden op financiële instellingen om ervoor te zorgen dat ze voldoen aan de DORA-regels. Het is raadzaam om vroegtijdig contact op te nemen met de DNB-contactpersoon van jouw instelling. Voor kritieke ICT-leveranciers wordt het toezicht uitgevoerd door European Supervisory Authorities (ESA’s), waaronder EIOPA (European Insurance and Occupational Pensions Authority).
Conclusie: De komst van DORA zal een aanzienlijke impact hebben op de financiële sector. Hoewel nog niet alles volledig is uitgewerkt, zijn er stappen die organisaties nu al kunnen nemen om zich voor te bereiden. Het is duidelijk dat DORA veel gedetailleerder en voorschrijvender is dan eerdere frameworks. Financiële instellingen en hun partners moeten zich daarvan bewust zijn.
Dit artikel biedt fintech-bedrijven een overzicht van wat ze kunnen verwachten van de Digital Operational Resilience Act (DORA) en hoe ze zich kunnen voorbereiden op de implementatie ervan. Het benadrukt de belangrijkste aspecten van DORA en het belang van compliance in een steeds digitalere financiële wereld.