Aan de slag met de Digital Operational Resilience Act (DORA)
Vanaf 2025 moeten financiële instellingen voldoen aan de Digital Operational Resilience Act (DORA). Wat is de DORA precies? Wat zijn de vereisten en wat is de impact? Experts van Into Control geven uitleg.
De Digital Operational Resilience Act biedt een integrale aanpak voor het beheer van ICT-risico’s. De nieuwe Europese wetgeving is ontstaan als reactie op de stijgende digitale afhankelijkheid van bedrijven en de toenemende dreiging van cyberaanvallen en datalekken.
Met de invoering van de DORA-verordening zet de Europese Unie een stap vooruit richting het weerbaar maken van de financiële sector tegen significante operationele verstoringen veroorzaakt door digitale dreigingen.
Per 17 januari 2025 dienen financiële instellingen compliant te zijn met DORA. De verordening is van toepassing op een breed scala aan financiële entiteiten in de EU. Hieronder vallen onder meer banken, verzekeraars, crowdfundingdienstverleners, cryptodienstverleners, pensioenfondsen en beleggingsondernemingen.
DORA stelt eisen en geeft richtlijnen aan bedrijven in de financiële sector, zodat de digitale systemen en infrastructuur worden beveiligd en beheerd en de organisaties tijdig en voorbereid kunnen reageren op cyberincidenten en datalekken. Door middel van deze wetgeving zijn bedrijven in de nabije toekomst beter voorbereid op digitale bedreigingen en de impact hiervan.
Belangrijkste vereisten van DORA
Hoewel de DORA-verordening ruimte laat voor gedelegeerde handelingen, ofwel verdere regelgeving op dit gebied, zijn de hoofdlijnen vrij specifiek vastgesteld. De volgende categorieën kunnen worden teruggevonden in DORA:
Herzien organisatie en bestuur
Onder DORA zijn er specifieke bestuurlijke en organisatorische vereisten die moeten worden gevolgd op het gebied van ICT-risicomonitoring.
Implementeren ICT-risk management framework
Het is vereist voor financiële entiteiten een ICT-risk management framework te implementeren als deel van het algemene risicobeheersysteem.
ICT-incidentrapportage
Een specifieke procedure voor het melden van ICT-gerelateerde incidenten moet worden geïmplementeerd.
Digital operationele weerbaarheidsstrategie
Maatregelen moeten worden genomen om cyberincidenten te voorkomen, ontdekken, de schade te kunnen beperken en een snel herstel te kunnen waarborgen.
Toezicht ICT-risico beheer op derde partijen
Onder DORA zijn financiële entiteiten verantwoordelijk voor de ICT-risico’s van derde partijen en dienen deze risico’s te definiëren en bewaken.
Aan de slag met DORA
Januari 2025 lijkt nog ver in de toekomst, toch is het belangrijk om tijdig te beginnen met de implementatie van DORA. Het is een ingewikkeld kader dat vele aspecten omvat en vraagt om aanpassingen binnen verschillende afdelingen van de organisatie.
Ten eerste is het van belang om na te gaan welke personen binnen de organisatie betrokken zijn bij de betreffende onderwerpen in de DORA. Stel ze op de hoogte van de nieuwe verordening en laat ze zich inlezen in het onderwerp. Wanneer de organisatie in kaart heeft gebracht wie er betrokken en verantwoordelijk zijn voor dit implementatieproces, kunnen er stapsgewijs vervolgstappen genomen worden.
Tevens is het van belang om snel te bepalen in hoeverre de organisatie al voldoet aan de vereisten uit de DORA en, in het geval dat de organisatie nog niet voldoet aan een bepaald vereiste, te inventariseren welke systemen, middelen of procedures vereist zijn om wel te kunnen voldoen. Zodra deze zijn gedefinieerd kan de organisatie de vereisten met de binnen de organisatie verantwoordelijke personen de verordening implementeren.
