DORA

DORA | De digital operational resilience act | De weerbaarheid van de financiële sector

DORA, ook wel de De Digital Operational Resilience Act, is een nieuwe Europese wetgeving die als doel heeft de digitale veerkracht (d.w.z. de beveiliging van netwerk- en informatiesystemen, ook tijdens verstoringen) van financiële instellingen binnen de Europese Unie te vergroten en de risico’s die verbonden zijn aan uitbesteding aan derde dienstverleners te beperken. De wet maakt deel uit van het pakket voor digitale financiën, een reeks maatregelen om het potentieel van digitale financiën op het gebied van innovatie en concurrentie te ondersteunen, terwijl de daarmee samenhangende risico’s worden beperkt. DORA is sinds januari 2023 een wet, maar je hebt tot januari 2025 de tijd om eraan te voldoen.

Voor wie geldt DORA?

DORA is van toepassing op een breed scala van financiële instellingen die onder EU-regelgeving vallen, waaronder banken, beleggingsondernemingen, betalingsinstellingen, elektronisch geldinstellingen, verzekeraars, herverzekeraars, beheerders van alternatieve beleggingsfondsen en instellingen voor collectieve belegging in effecten. DORA is ook van toepassing op kritieke derde dienstverleners die IT-diensten leveren aan financiële instellingen, zoals cloud computing providers, softwareleveranciers en datacentra.

Financiële instellingen

IT-serviceleveranciers

Waar moeten financiële instellingen aan voldoen?

DORA stelt enkele eisen aan financiële instellingen om hun digitale operationele veerkracht te waarborgen. De belangrijkste eisen omvatten:

Vereisten in verband met governance: Financiële instellingen moeten een IT-risicobeheerkader opzetten en onderhouden dat is afgestemd op hun strategie, risicobereidheid en bedrijfsmodel. Ze moeten ook zorgen voor een passende toewijzing van verantwoordelijkheden en middelen voor IT-risicobeheer op alle niveaus van de organisatie.
Vereisten voor IT-risicobeheer: Financiële instellingen moeten regelmatig IT-risicobeoordelingen uitvoeren om de aard, omvang en impact van hun IT-risico’s te identificeren, te meten, te beperken en te bewaken. Ze moeten ook passende IT-beveiligingsmaatregelen treffen om hun gegevens en systemen te beschermen tegen ongeoorloofde toegang, gebruik, wijziging of vernietiging.
IT-gerelateerde incidentrapportage: Financiële instellingen moeten een proces vaststellen om IT-gerelateerde incidenten op te sporen, te classificeren en te melden aan hun bevoegde autoriteiten binnen een vastgestelde termijn. Ze moeten ook passende maatregelen nemen om dergelijke incidenten te voorkomen, te beperken of te verhelpen en de lessen die daaruit zijn getrokken te documenteren.
Testen van digitale operationele veerkracht: Financiële instellingen moeten regelmatig tests uitvoeren om de effectiviteit van hun IT-beveiligingsmaatregelen en hun vermogen om IT-gerelateerde verstoringen het hoofd te bieden, te evalueren en te verbeteren. Ze moeten ook deelnemen aan sector overschrijdende tests die door de bevoegde autoriteiten worden georganiseerd.
Beheer van het IT-risico van derden: Financiële instellingen moeten specifieke regels naleven voor het aangaan en beheren van overeenkomsten met kritieke derde dienstverleners die IT-diensten leveren. Denk hierbij aan het uitvoeren van due diligence, het monitoren van de prestaties en het waarborgen van de toegang tot informatie en auditrechten. Ze moeten ook rekening houden met het IT-risico dat voortvloeit uit de afhankelijkheid van derde dienstverleners in hun eigen IT-risicobeheerkader.
Uitwisseling van informatie: Financiële instellingen moeten informatie en inlichtingen delen over cyberdreigingen en -kwetsbaarheden met andere financiële instellingen, bevoegde autoriteiten en relevante netwerken of platforms op nationaal of Europees niveau. Ze moeten ook gebruikmaken van de informatie en inlichtingen die door deze bronnen worden verstrekt om hun digitale operationele veerkracht te verbeteren.

Wat zijn de voordelen van DORA?

DORA heeft tot doel de volgende voordelen te bieden voor de financiële sector en de consumenten:

Het versterken van de digitale operationele veerkracht en veiligheid van financiële instellingen door toenemende IT-risico’s en -afhankelijkheden.
Het creëren van een geharmoniseerd en consistent regelgevingskader voor digitale operationele veerkracht in de hele EU, waardoor fragmentatie en dubbele regels worden vermeden.
Het bevorderen van een gelijk speelveld en een eerlijke concurrentie tussen financiële instellingen en kritieke derde dienstverleners op de interne markt.

Het stimuleren van innovatie en digitalisering in de financiële sector door het vergemakkelijken van de toegang tot en het gebruik van nieuwe technologieën zoals cloud computing.
Het verbeteren van de bescherming en het vertrouwen van consumenten in financiële diensten door het waarborgen van de continuïteit, integriteit en veiligheid van hun gegevens en systemen.

Wat is de relatie met NIS2?

De relatie tussen NIS2 en DORA is dat beide EU-wetgevingen zijn die gericht zijn op het verbeteren van de cyberveiligheid en -weerbaarheid van verschillende sectoren in de EU. NIS2 geldt voor een breed scala aan sectoren en activiteiten die noodzakelijk of belangrijk zijn voor de economie en de samenleving, zoals energie, transport, gezondheid en digitale infrastructuur. DORA is specifiek gericht op de financiële sector en stelt eisen aan de digitale operationele veerkracht van financiële instellingen, zoals banken, verzekeraars en beleggingsondernemingen. NIS2 en DORA zijn op elkaar afgestemd om juridische duidelijkheid en coherentie te waarborgen tussen de verschillende cyberveiligheidsregels in de EU.

Wat kan Hoek en Blok betekenen?

Wil je klaar zijn voor DORA? Dan kun je rekenen op onze IT-consultants om je te helpen bij elke stap van je digitale transformatie. We bieden een grondige analyse van je IT-risico’s en kansen, een op maat gemaakt IT-risicobeheerkader dat voldoet aan de normen van DORA, en ondersteuning om jouw IT-beveiliging, incidentrapportage, veerkrachttesten, beheer van derde dienstverleners en informatie-uitwisseling te optimaliseren. Hoek en Blok kan je digitale operationele veerkracht versterken en je helpen om je klanten de beste financiële diensten bieden.

DORA

Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3402 Assurance rapportages af om de beheersing aan je klanten aan te tonen.

Aantoonbare kwaliteit van bedrijfsprocessen
Onderscheiden van concurrentie
Bedrijfsprocessen in control

DORA

Voor wie geldt DORA?

Financiële instellingen

IT-serviceleveranciers

Waar moeten financiële instellingen aan voldoen?

Wat zijn de voordelen van DORA?

Wat is de relatie met NIS2?

Wat kan Hoek en Blok betekenen?

DORA

Aantoonbare kwaliteit van bedrijfsprocessen

Onderscheiden van concurrentie

Bedrijfsprocessen in control

Diensten

Contactgegevens