Wat betekent DORA voor mijn organisatie?
De financiële sector staat voor een nieuwe uitdaging met de introductie van de Digital Operational Resilience Act (DORA). Deze Europese verordening, die sinds januari 2023 van kracht is, heeft als doel de cyberweerbaarheid van financiële instellingen te verbeteren en hen verder voor te bereiden op het digitale tijdperk. In deze blog bespreken we de belangrijkste aspecten van DORA en bieden we inzichten over hoe financiële instellingen zich het beste kunnen voorbereiden op deze nieuwe regelgeving.
Wat is DORA?
DORA, of deDigital Operational Resilience Act, is een Europese verordening die van toepassing is op de gehele Europese financiële sector. Dit wetsvoorstel, waarover in mei 2022 een voorlopig akkoord is bereikt, richt zich specifiek op het waarborgen van de veerkracht van de financiële sector in Europa tijdens ernstige operationele verstoringen. DORA vervangt niet de huidige wet- en regelgeving, maar vult deze aan door een kader te bieden voor het beheer van operationele risico’s in een digitale omgeving.
DORA streeft ernaar de digitale veiligheid van financiële instellingen te versterken door strenge eisen op te leggen aan diverse gebieden, waaronder ICT-risicomanagement, incidentenbeheer en periodieke tests van digitale weerbaarheid. Wat DORA onderscheidt, is dat het verschillende regelgevingsinitiatieven van diverse Europese toezichthouders, zoals de Europese Centrale Bank (ECB), consolideert in één allesomvattende verordening.
De klok tikt
Financiële instellingen dienen uiterlijk op 17 januari 2025 volledig te voldoen aan de vereisten van de Digital Operational Resilience Act-verordening (DORA). De Regulatory Technical Standards (RTS), die het gedetailleerde kader van deze wetgeving vormen, worden in twee fasen gepubliceerd. Op 17 januari 2024 werd de definitieve versie van het eerste deel van de RTS, bekend als level 2-teksten, door Brussel vrijgegeven. Een tweede ronde van deze standards volgt op 17 juli 2024, waarmee de DORA-wetgeving tot in detail compleet wordt. De consultatieversie van deze tweede ronde is beschikbaar sinds 8 december 2023.
Kortom, na de tweede ronde hebben financiële instellingen slechts zes maanden om de implementatie te voltooien na de definitieve specificaties. Het is dus van essentieel belang om tijdig te beginnen.
Waarin verschilt DORA van eerdere verordeningen?
DORA onderscheidt zich door de invoering van een allesomvattend wettelijk kader voor de gehele Europese Unie, gericht op een uniforme levering van ICT-diensten. Meer dan 22.000 financiële instellingen zullen onder toezicht komen te vallen. Het verschilt van eerdere verordeningen rondom digitale weerbaarheid door de omvang en gedetailleerdheid van de vereisten, die het algehele ecosysteem aanzienlijk robuuster maken. Bovendien verbetert DORA de ketenveiligheid en beperkt het de risico’s van fouten bij informatie-uitwisseling. Kortom, met DORA maakt de Europese Unie een grote sprong in het vergroten van de weerbaarheid van de financiële sector bij digitale dreigingen.
Hoe bereidt u zich het beste voor?
DNB heeft herhaaldelijk benadrukt dat financiële instellingen nu al moeten beginnen met het voldoen aan de eisen van DORA en de implementatie ervan, ondanks de nog niet definitieve regelgeving. Er zijn verschillende stappen die nu al kunnen worden ondernomen ter voorbereiding.
Brengt het wettelijk kader in beeld d.m.v. een gap analyse
Allereerst is het essentieel om het wettelijk kader in beeld te brengen, een gap-analyse uit te voeren op basis van de inmiddels gepubliceerde vordering (level 1-regelgeving) van DORA en een activiteitenplan op te stellen.
Investeer in kennis van bestuurders en interne toezichthouders
Daarnaast kun je als financiële instelling beginnen met het investeren in de kennis van bestuurders en interne toezichthouders op het gebied van ICT-risicomanagement, bijvoorbeeld door specifieke trainingen over het onderwerp.
Voer gesprekken met serviceproviders
De huidige werkwijze van serviceproviders zal worden beïnvloed door de noodzaak om in gesprek te gaan over strengere wettelijke vereisten met betrekking tot contractering, risicobeoordeling en monitoring. Deze verandering impliceert aanpassingen in operationele procedures om te voldoen aan de aangescherpte normen van de Digital Operational Resilience Act (DORA). Ga in gesprek met serviceproviders over de aanscherping van de wettelijke vereisten met betrekking tot contractering, risicobeoordeling en monitoring. Op deze manier kunnen zij hun werkwijzen vast aanpassen om te voldoen aan de nieuwe normen.
Welke kansen biedt DORA?
Met de implementatie van DORA ontstaat een natuurlijk moment om uw ICT-risicobeheerpraktijken opnieuw te evalueren en te verbeteren. Dit is een ideale gelegenheid om eventuele tekortkomingen in uw operationele processen te identificeren en optimaliseren om aan de DORA-vereisten te voldoen.
Optimaliseer controle en operationele processen
Door vervolgens verbeteringen aan te brengen in controles en operationele processen, gebruikmakend van standaardisatie, eliminatie van inefficiënties en automatisering, wordt het beheer van ICT-risico’s binnen uw organisatie niet alleen kosteneffectiever en efficiënter. Daardoor bent u ook goed voorbereid op audits en regelgevingsinspecties voortkomend uit DORA.
Hoewel de praktische invulling van het toezicht door De Nederlandsche Bank (DNB) momenteel nog enigszins onduidelijk is, zal DNB DORA integreren in bestaande goede praktijken en behoudt ze de mogelijkheid om sancties op te leggen bij non-compliance met DORA. DORA fungeert voor sommige financiële organisaties als een katalysator om de overgang naar het vereiste volwassenheidsniveau op het gebied van cybersecurity resilience te versnellen, terwijl anderen het zien als een kans om hun operationele vaardigheden te verbeteren en hun bedrijfsactiviteiten efficiënter en effectiever te handhaven, ongeacht de omstandigheden.
Wat kan BrightStone Group voor u betekenen?
Benieuwd hoe BrightStone Group u kan helpen om aan alle noodzakelijke regelgeving te voldoen? Kijk hier, of neem contact op met Karien Bos.
