Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Voorbereiding op DORA: vergroten van de digitale weerbaarheid

Nieuwsbericht toezicht
Lees voor

In een tijdperk waarin digitalisering een steeds grotere rol speelt, is het belangrijk dat de financiële sector weerbaar is tegen cyberdreigingen. Om harmonisatie binnen de Europese markt te stimuleren, heeft de Europese Unie daarom de Digital Operational Resilience Act (DORA) ingevoerd. Het komende jaar communiceert DNB hier geregeld over. In dit bericht lichten wij toe hoe financiële instellingen zich op DORA kunnen voorbereiden. Daarnaast geven wij meer duidelijkheid over welke stappen rond de regelgeving dit jaar nog worden gezet. DORA is een belangrijke stap naar een veiliger en veerkrachtiger digitaal financieel landschap. DNB verwacht dat alle financiële instellingen aandacht besteden aan de implementatie van DORA om zich zo tijdig op de nieuwe regelgeving voor te bereiden. 

Gepubliceerd: 27 maart 2024

Collega's wijzen naar computerscherm met grafiek

Wat is DORA? 

DORA is een Europese verordening die tot doel heeft de digitale weerbaarheid van de financiële sector te vergroten. DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten. DORA bevindt zich momenteel in de implementatiefase: instellingen hebben tot 17 januari 2025 om aan de wetgeving te voldoen. 

Totstandkoming DORA 

DORA bestaat uit een verordening (level 1), technische standaarden (level 2) en richtsnoeren (level 3). De totstandkoming van de technische standaarden en richtsnoeren is opgedeeld in twee batches. De eerste batch werd in januari 2024 voor goedkeuring ingediend bij de Europese Commissie. De tweede batch was open voor publieke consultatie tot 4 maart 2024. Deze consultatie bevatte de standaarden voor onder andere de rapportage van ernstige ICT-gerelateerde incidenten en threat led penetration testing (TLPT). Batch 2 moet voor 17 juli 2024 worden ingediend bij de Europese Commissie (EC). 

Implementatie van DORA 

De implementatie van DORA vraagt de nodige aandacht van financiële instellingen. Ondanks het feit dat sommige informatie pas later in 2024 beschikbaar komt, is het voor financiële instellingen belangrijk om al zoveel mogelijk stappen te zetten om zich voor te bereiden. Hierbij valt te denken aan: 

  • Het maken van een gap-analyse op basis van de DORA level 1 en de eerste batch level 2 regelgeving met een activiteitenplan. Deze gap-analyse kunnen instellingen later aanscherpen op basis van de gepubliceerde finale tweede batch level 2 regelgeving. De level 2 regelgeving op risicomanagement en uitbesteding gaat met name voor een aantal sectoren op onderdelen veel verder dan de huidige wettelijke uitgangspunten. Denk hierbij aan de inrichting van een strategie gericht op operationele weerbaarheid, back-ups en herstel, het bedrijfscontinuïteitsplan, awareness-programma’s, crisisbeheer, de informatiebeveiligingsfunctie en het integreren van derde partijen binnen het ICT-risicoraamwerk.
  • Het voeren van gesprekken met serviceproviders over de aanscherping van de wettelijke vereisten gericht op contractering, risicobeoordeling en monitoring. Serviceproviders moeten hun werkwijze eveneens aanscherpen. Instellingen kunnen ook al afspraken maken over het ontvangen van toereikende informatie ten behoeve van het Register of Information, zoals vormgegeven in de Implementing Technical Standards (ITS). 
  • Het zorgen dat de beheersing van ICT-risico’s over de gehele ICT-uitbestedingsketen(s) aantoonbaar wordt gewaarborgd. Hiervoor is het onder andere belangrijk om goede afspraken te maken met dienstverleners over de wijze waarop zij de financiële instelling kunnen aantonen dat de ICT-risico’s conform DORA worden beheerst. 
  • Het op niveau brengen en actueel houden van de kennis van bestuurders en interne toezichthouders met betrekking tot ICT-risicomanagement binnen de instelling.

In de loop van 2024 wordt meer bekend over de gevolgen van DORA voor bestaande guidelines en good practices op het gebied van digitale weerbaarheid en worden financiële instellingen aangewezen die threat led penetration testing (TLPT) moeten uitvoeren. Daarnaast komt er gedurende het jaar verdere informatie over het melden van ernstige ICT-incidenten en het rapporteren van de Registers of Information.

 

Wat doen de toezichthouders?  

Ook DNB bereidt zich voor op DORA. Bijvoorbeeld door betrokkenheid bij de onderhandelingen over de technische standaarden en richtsnoeren, en de voorbereiding op de uitvoering van verschillende nieuwe toezichtstaken. Hierbij werkt DNB samen met de AFM. Daarnaast is DNB ook betrokken bij de inrichting van het DORA-toezicht binnen het Single Supervisory Mechanism (SSM), het gemeenschappelijke toezichtkader voor de bankensector in de Eurozone. 

Wat kunnen instellingen van DNB verwachten? 

DNB ziet toe op een gedegen voorbereiding op DORA. Hiertoe communiceert DNB gedurende het jaar regelmatig over de relevante ontwikkelingen. Dit gebeurt onder meer via nieuwsberichten, webinars, presentaties en rondetafelgesprekken. 

Ontdek gerelateerde artikelen

Interessante artikelen

DNB maakt gebruik van cookies

Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies. 
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.

Om de website goed te laten werken plaatst De Nederlandsche Bank (DNB) zogeheten functionele cookies en analytics cookies. Maatregelen zijn genomen teneinde zeker te stellen dat deze cookies geen of maar weinig gevolgen heeft voor de privacy van bezoekers.

Op sommige pagina's wordt content van externe websites ingesloten. Deze websites kunnen gebruik maken van eigen (tracking) cookies. Hiermee kunnen derde partijen bijvoorbeeld bezoekersstatistieken bijhouden, gepersonaliseerde content tonen en gerichte advertenties tonen. U kunt zowel bij uw eerste bezoek aan de website als op het moment dat u op een pagina met ingesloten content komt, uw keuze maken over het toestaan van deze optionele cookies.