Hoe de DORA zorgt voor meer cyberweerbaarheid en digitale duurzaamheid in de financiële sector
Sinds januari 2023 is de Digital Operations Resilience Act (DORA) in werking getreden. De Europese verordening vult bestaande wetgeving, waaronder NIS2 en GDPR, aan en richt zich op het versterken van de digitale veerkracht van financiële organisaties. Het uiteindelijke doel? De sector weerbaarder maken tegen cyberdreigingen. Maar wat betekent dit in de praktijk precies? In deze blog verkennen we de gevolgen van de DORA en werpen we een licht op de impact op de financiële sector.
Wat je moeten weten over de DORA
Aanleiding
De toenemende cyberdreigingen en de achterlopende ontwikkeling van de cyberweerbaarheid van veel organisaties. Tegelijkertijd wordt de financiële sector steeds afhankelijker van IT.
Doel
Technologische risico’s ondervangen, weerbaarheid verhogen en betrouwbaarheid garanderen. De verordening richt zich daarom op:
- ICT-risicomanagement.
- IT-incidentbeheersing.
- Testen van weerbaarheid.
- Beheersing van risico’s bij uitbesteding aan (kritieke) derden.
- Samenwerking ten aanzien van informatie-uitwisseling.
- Verbetering van de ketenveiligheid.
Doelgroep
De gehele Europese financiële sector. Dit gaat om meer dan 22.000 financiële entiteiten. De DORA heeft betrekking op:
- Aanbieders van crowdfundingdiensten.
- Verzekeringstussenpersonen.
- Herverzekerings- en nevenverzekeringstussenpersonen.
- Beleggingsondernemingen en -instellingen.
- Handelsplatformen.
Tijdlijn & toezicht
De DORA is sinds januari 2023 van kracht. Val je onder de doelgroep? Dan heb je tot december 2024 de tijd om aan de regelgeving te voldoen. Vanaf januari 2025 moeten de regels geïmplementeerd zijn in iedere organisatie. Het toezicht op de naleving wordt naar verwachting een gezamenlijke inspanning van het AFM en DNB.
DORA & NIS2
Mocht je denken: “maar de NIS2 is net ingevoerd?” Dat klopt. De DORA en de richtlijn Netwerk- en informatiebeveiliging 2 zijn tegelijk gepubliceerd én hebben een soortgelijk doel. Sterker nog, financiële instellingen moeten ook voldoen aan de NIS2. DORA bevat echter specifieke regels enkel voor de financiële sector en organisaties die diensten aan financiële entiteiten verlenen. De DORA is daarin leidend.
DORA in de praktijk
Een nieuwe verordening betekent nieuwe uitdagingen voor veel organisaties die hieraan moeten voldoen. Bestaande processen en structuren moeten worden herzien en waarborging is essentieel. Dat vereist niet alleen grondige kennis van de wet zelf, maar ook de capaciteit om snel en effectief aanpassingen door te voeren.
Sleutelprocessen die centraal staan in het voldoen aan de DORA zijn:
- Inventariseren van huidige ICT-processen.
- Vormgeven van de IT-strategie, afgestemd op de bedrijfsstrategie.
- Implementeren van verbeteringen.
- Zorgen voor volwassenheid en eigenaarschap.
- Uitvoeren van tests en analyses.
Wat levert het op?
Het omarmen van een nieuwe verordening is niet alleen een juridische, maar ook een strategische noodzaak om het vertrouwen van belanghebbenden te behouden en duurzaamheid op de lange termijn te waarborgen. Gebruik de introductie van de DORA dan ook als hét moment om de volwassenheid van IT-processen onder de loep te nemen en waar nodig aanpassingen te doen.
Verder lezen?
Lees de verhalen van 20 koplopers uit het securitydomein in één boek. Ze schijnen hun licht op innovatie in de sector en vertellen hoe ze zélf innoveren voor een veiligere samenleving. Je bestelt ‘m hier.