14 jan DORA dwingt financiële organisaties ICT-systemen veilig te houden
Financiële instellingen hebben nog maar kort tijd om helemaal te voldoen aan ‘DORA’, een Europese verordening die stelt dat financiële organisaties IT-risico’s beter moeten beheersen en daarmee weerbaarder moeten worden tegen cyberdreigingen. DORA is van kracht sinds januari 2023 maar op 17 januari 2025 moeten deze instellingen aan de regelgeving voldoen.
De financiële sector wordt voor zijn dienstverlening steeds afhankelijker van technologie en techbedrijven. Dit maakt deze sector kwetsbaar voor problemen die gepaard gaan met technologie, zoals een cyberaanval. Dit kan uiteindelijk ten koste gaan van de robuustheid en transparantie van de kapitaalmarkten.
Technologische risico’s
De Digital Operational Resilience Act (DORA) heeft als doel dergelijke technologische risico’s te ondervangen voor aanbieders van crowdfundingdiensten, verzekeringstussenpersonen, her- en nevenverzekeringstussenpersonen, beleggingsondernemingen en -instellingen en handelsplatformen. Het doel is om de robuustheid te garanderen. De verordening richt zich op het aanscherpen van risk management, IT-incidentbeheersing, periodieke testen van digitale weerbaarheid, toezicht op kritieke IT-dienstverleners, en op governance en organisatie. De regeling is bedoeld voor financiële instellingen (banken, betaaldienstverleners, verzekeringsmaatschappijen, instellingen voor elektronisch geld en beleggingsondernemingen) en bedrijven die daaraan ICT-diensten verlenen.
Micro-ondernemingen
Bij dit alles wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van individuele organisaties. Zo hoeven zogenoemde micro-ondernemingen niet te voldoen aan alle onderdelen van de verordening en wordt voor het onderdeel ICT-risicobeheer een versimpeld kader ontwikkeld voor bepaalde vergunningstypes.
Ketenveiligheid en informatie-uitwisseling
Daarnaast zijn er nog twee aanvullende effecten die bijdragen aan de weerbaarheid van financiële instellingen. Ten eerste beoogt DORA de ketenveiligheid te verbeteren. De verordening bevat een kader dat van toepassing is op de meest kritieke ICT-dienstverleners voor de financiële sector. Tenslotte treft de verordening ook een regeling voor informatie-uitwisseling, zodat financiële instellingen onderling informatie en inlichtingen over cyberdreigingen kunnen uitwisselen en risico’s daarmee verder kunnen beperken.
Controleren
Financiële instellingen moeten op 17 januari 2025 voldoen aan DORA. Vanaf dat moment controleren de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) of financiële instellingen zich aan de verordening houden.