Nieuwe Europese Wetgeving: Digital Operational Resilience Act (DORA)

team in overlegSinds januari 2023 is de Digital Operational Resilience Act (DORA) van kracht en deze treedt vanaf 17 januari 2025 inwerking. Deze wet heeft tot doel de IT-beveiliging van financiële entiteiten, zoals banken, verzekeringsmaatschappijen en beleggingsondernemingen, te versterken en ervoor te zorgen dat de financiële sector in Europa veerkrachtig blijft bij ernstige operationele verstoringen.

Harmonisatie en Toepassingsgebied

DORA brengt harmonisatie van de regels met betrekking tot operationele weerbaarheid voor de financiële sector en hun ICT-dienstverleners. 
Door de toenemende afhankelijkheid van (online) technologie in de financiële sector, neemt de dreiging van cyberaanvallen en ICT-incidenten toe. Ook de maatschappij is inmiddels afhankelijk van de beschikbaarheid van deze digitale systemen. Verstoringen van deze systemen hebben dan ook een behoorlijke impact op de Europese economie. 
Om deze reden is de wetgeving cruciaal voor een weerbare financiële sector. 

Doelstellingen van DORA

De Digital Operational Resilience Act stelt een bindend, uitgebreid kader voor risicobeheer van ICT vast voor de EU-financiële sector. Het beoogt twee hoofddoelen te bereiken: het uitgebreid aanpakken van ICT-risicobeheer in de financiële dienstverleningssector en het harmoniseren van de regelgeving voor ICT-risicobeheer die al bestaat in individuele EU-lidstaten.

Neem contact met ons op!

Toepassingsgebied van DORA

DORA is van toepassing op alle financiële instellingen in de EU. Maar deze wet strekt verder dan dat. Ook in scope voor deze wetgeving zijn bedrijven die een ICT-systeem of dienst aan een financiële entiteit leveren en zelfs ook een kritieke derde partij van dat bedrijf. Dat betekent dat ook deze bedrijven aan (delen) van DORA moeten voldoen.  

Ontwikkeling en Implementatie

DORA is ontwikkeld door de Europese Commissie en bestaat uit de DORA verordening met negen aanvullende documenten voor een verdere verdieping van de richtlijnen en eisen. De aanvullende documenten worden uitgewerkt door de Europese Toezichthoudende Autoriteiten (ETAs) en bestaan uit Regulatory Technical Standards (RTS) , Implementation Technical Standards (ITS) en Guidelines. 
De RTS’en zijn een verdieping op de DORA eisen zoals vermeld in de verordening. De ITS’en zijn voorschrijvende implementatie eisen en de Guidelines zijn de zogeheten richtsnoeren.  

De aanvullende documenten zijn ter consultatie aangeboden aan de markt in twee rondes. De aanvullende documenten uit de tweede consultatieronde zullen medio juli 2024 ter finale goedkeuring worden aangeboden aan de Europese Commissie. Op dat moment worden de finale versies van deze laatste consultatieronde gepubliceerd.  

Op 17 januari 2025 treedt de wet in werking en dienen financiële entiteiten en hun kritische ICT-leveranciers hieraan te voldoen.  

Inhoud van DORA

DORA behandeld vier hoofdonderwerpen met verplichte eisen waar financiële entiteiten aan moeten voldoen. Bij het vaststellen van de eisen is geput uit internationale standaarden zoals ISO27001, NIST, NIS2, EBA Guidelines, etc. 
Het vijfde onderwerp gaat over het uitwisselen van informatie over cyber dreigingen tussen de financiële entiteiten. Dit heeft als doel om de digitale operationele weerbaarheid van de financiële entiteiten te versterken, met name via bewustmaking van cyberdreigingen. Richtlijnen uit dit hoofdstuk hebben een vrijwillig karakter en wordt daarom niet toegelicht in dit artikel.

Neem contact met ons op!

Hieronder de vier hoofdonderwerpen en een korte toelichting daarop:

1. ICT Risicobeheer en Governance

Directie en (senior) management van een financiële instellingen worden verantwoordelijk gesteld voor ICT-risico beheer. Financiële entiteiten dienen een ICT-riskmanagement framework te implementeren waarin taken en verantwoordelijkheden op het juiste niveau in de organisatie wordt belegd.  
Het framework dient ervoor te zorgen dat ICT-risico’s worden geïdentificeerd, geclassificeerd en beheerd.  
Elk jaar dient de financiële entiteit het framework te evalueren en hierover te rapporteren aan de toezichthouder. 

2. Incidentenmanagement en respons

Financiële entiteiten dienen procedures in te richten voor het vroegtijdig signaleren, classificeren, registreren en mitigeren van ICT-gerelateerde incidenten. 
Grote incidenten dienen volgens een vast format en binnen vastgestelde tijden gemeld te worden aan de toezichthouder.  

3. Digitale Operationele Weerbaarheid

Het testen van de ICT-systemen op weerbaarheid voor cyber aanvallen is onderdeel van dit hoofdstuk van DORA. Afhankelijk van de omvang en impact van een financiële entiteit wordt de weerbaarheidstest omvangrijker.  
Opvallend is dat ook de ketenpartners aan de scope van de weerbaarheidstesten kunnen worden toegevoegd.  

4. Beheer van ICT-risico van derde aanbieders

Bij het uitbesteden van kritieke ICT-systemen of processen blijft de financiële entiteit verantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van data en systemen. In dit hoofdstuk staan de eisen opgenomen waar financiële entiteiten aan moeten voldoen om de ICT-risico’s bij uitbesteding te beheersen. Maatregelen hebben betrekking op leveranciersrisicobeoordelingen, de contractfase, de monitoringfase en exit strategieën. 

Conclusie

De Digital Operational Resilience Act (DORA) vormt een cruciale stap in het waarborgen van de operationele veerkracht van de Europese financiële sector in het licht van toenemende digitale afhankelijkheid en cybersecurity-dreigingen. Door een uniform kader te bieden voor ICT-risicobeheer en -governance, beoogt DORA de stabiliteit en veiligheid van de financiële infrastructuur in de EU te versterken. 

Contact opnemen

Meer weten?  Neem contact op met onze specialist Toby Boerlage!

Toby Boerlage - directeur Beyond Ideas

    Kunnen we je ergens mee helpen?
    Kunnen we je ergens mee helpen?
    Wanneer je je gegevens achterlaat, dan nemen we snel contact met je op.