DORA; verplicht voor financiële organisaties

Vanaf 17 januari 2025 is de Digital Operational Resilience Act (DORA) officieel van kracht voor alle financiële organisaties binnen de Europese Unie. Deze nieuwe verordening stelt strenge eisen aan de digitale operationele weerbaarheid van financiële instellingen en bouwt voort op bestaande regelgeving zoals de NIS2-richtlijn en de AVG. In dit artikel leggen we uit wat DORA inhoudt, wat het aanvult op eerdere regels, en hoe organisaties kunnen voldoen aan de vereisten.

Wat is DORA?

DORA is een Europese wetgeving die financiële organisaties verplicht hun digitale operationele weerbaarheid te versterken. Het doel is om de financiële sector beter te beschermen tegen cyberaanvallen, IT-verstoringen en andere digitale risico’s. De wetgeving geldt onder andere voor:
– Banken en kredietinstellingen
– Verzekeraars
– Beleggingsmaatschappijen
– Betaaldienstverleners
– ICT-dienstverleners in de financiële sector

De kernpunten van DORA zijn:

1. ICT-risicobeheer: Organisaties moeten een gedetailleerd kader opzetten om ICT-risico’s te identificeren, monitoren en beheren.
2. Incidentrapportage: Ernstige ICT-incidenten moeten worden gemeld aan de bevoegde autoriteiten binnen vastgestelde tijdslimieten.
3. Operationele tests: Regelmatige testen zijn verplicht om de weerbaarheid van systemen en processen te waarborgen.
4. Beheer van derden: Strengere eisen worden gesteld aan het beheren van risico’s bij samenwerkingen met externe ICT-dienstverleners.

DORA, een aanvulling op NIS2 en AVG:

NIS2 richt zich breder op cybersecurity en kritieke sectoren, terwijl DORA specifiek de financiële sector adresseert.
De AVG (Algemene Verordening Gegevensbescherming) behandelt de bescherming van persoonsgegevens. DORA gaat verder door ook niet-persoonsgebonden operationele risico’s aan te pakken, zoals systeemstoringen en ketenrisico’s.

Om te voldoen aan DORA adviseren wij de volgende stappen:

1. Bepaal als eerste of DORA van toepassing is op de eigen organisatie.
2. Stel een ICT-risicobeheerbeleid op waarbij procedures en maatregelen voor het identificeren en beperken van risico’s goed worden gedocumenteerd. Zorg ervoor dat het beleid up-to-date blijft.
3. Organiseer regelmatig stresstesten en penetratietesten om kwetsbaarheden op te sporen en daarmee de digitale weerbaarheid vast te stellen.
4. Zorg dat iedereen bekend is met ehoe IT-incidenten moeten worden gemeld en hoe deze worden opgelost: het incidentresponsproces.
5. Monitor leveranciers actief en leg duidelijke afspraken vast in contracten over DORA-compliance.
6. Vraag indien nodig ondersteuning door experts op het gebied van digitale weerbaarheid en compliance.

Zie ook de Verordening (EU) 2022/2554 van het Europees Parlement en de Raad

Gerelateerde artikelen

• Nederlandse invoering NIS2 opnieuw vertraagd
• NIS2: Business continuity en cyberweerbaarheid
• Templates voor AVG implementatie
• Stap 8 AVG implementatie: Meldplicht datalekken
• Stap 7 AVG implementatie: Functionaris Gegevensbescherming