Vanaf 2025 worden financiële instellingen geconfronteerd met de verplichting om te voldoen aan de Digital Operational Resilience Act, afgekort DORA. Wat houdt DORA precies in? Wat zijn de voornaamste vereisten en wat voor effect heeft deze wetgeving? De experts bij Into Control verschaffen helderheid over dit onderwerp.

De Digital Operational Resilience Act biedt een allesomvattende benadering voor het beheer van ICT-gerelateerde risico's. Deze nieuwe Europese wetgeving is een reactie op de toenemende digitale afhankelijkheid van bedrijven en de groeiende bedreigingen van cyberaanvallen en datalekken.

Met de invoering van de DORA-verordening zet de Europese Unie een stap voorwaarts om de financiële sector veerkrachtiger te maken tegen aanzienlijke operationele verstoringen veroorzaakt door digitale dreigingen.

Aan de slag met de Digital Operational Resilience Act (DORA)

Vanaf 17 januari 2025 zijn financiële instellingen verplicht om aan DORA te voldoen. Deze verordening is van toepassing op een breed scala van financiële entiteiten in de Europese Unie, waaronder banken, verzekeraars, crowdfundingdienstverleners, cryptodienstverleners, pensioenfondsen en beleggingsondernemingen.

DORA stelt eisen en biedt richtlijnen aan bedrijven in de financiële sector, zodat de digitale systemen en infrastructuur beveiligd en beheerd worden, en organisaties tijdig en adequaat kunnen reageren op cyberincidenten en datalekken. Deze wetgeving is bedoeld om bedrijven in de nabije toekomst beter voor te bereiden op digitale dreigingen en de gevolgen daarvan.

Belangrijkste vereisten van DORA

Hoewel DORA ruimte laat voor verdere regelgeving in de vorm van gedelegeerde handelingen, zijn de hoofdlijnen al vrij specifiek vastgelegd. De volgende categorieën zijn te vinden in DORA:

Herziene organisatie en bestuur: DORA schrijft specifieke bestuurlijke en organisatorische vereisten voor met betrekking tot het monitoren van ICT-risico's.

Implementatie van een ICT-risk management framework: Financiële entiteiten moeten een ICT-risk management framework implementeren als onderdeel van hun algemene risicobeheersysteem.

Rapportage van ICT-incidenten: Er dient een specifieke procedure te worden ingevoerd voor het rapporteren van ICT-gerelateerde incidenten.

Strategie voor digitale operationele weerbaarheid: Maatregelen moeten worden genomen om cyberincidenten te voorkomen, te detecteren, de schade te beperken en een snel herstel te waarborgen.

Toezicht op ICT-risicobeheer bij derde partijen: Financiële entiteiten dragen verantwoordelijkheid voor de ICT-risico's van derde partijen en dienen deze risico's te definiëren en te monitoren.

Aan de slag met DORA

Hoewel januari 2025 nog in de toekomst ligt, is het van groot belang om tijdig te starten met de implementatie van DORA. Deze wetgeving is complex en omvat verschillende aspecten die aanpassingen binnen diverse afdelingen van een organisatie vereisen.

In de eerste plaats is het essentieel om te identificeren welke personen binnen de organisatie betrokken zijn bij de relevante aspecten van DORA. Zorg ervoor dat zij op de hoogte zijn van de nieuwe verordening en zich verdiepen in het onderwerp. Na het vaststellen van de verantwoordelijke personen binnen de organisatie, kunnen vervolgstappen systematisch worden ondernomen.

Het is tevens van belang om snel te beoordelen in hoeverre de organisatie al aan de vereisten van DORA voldoet. Als de organisatie nog niet volledig voldoet, dienen de benodigde systemen, middelen of procedures te worden geïdentificeerd om aan deze vereisten te voldoen. Eenmaal gedefinieerd, kan de organisatie samen met de verantwoordelijke personen de vereisten van de verordening implementeren.