DORA: 17 januari 2025 nadert sneller dan u denkt

Wat zijn de belangrijkste uitkomsten?

1. Veel instellingen moeten nog starten met (delen van) de gap-analyse

Uit de uitkomsten van de vragenlijst blijkt dat veel instellingen nog druk zijn met het uitvoeren van een gap-analyse - of van plan zijn om dit te gaan doen - op zowel de DORA verordening als de onderliggende regelgeving (RTS/ITS). DNB onderschrijft het belang van een gedegen gap-analyse ter voorbereiding op een tijdige implementatie van DORA.

Tegelijkertijd raadt DNB instellingen aan om met een passende urgentie deze gap-analyse af te ronden. Een gap-analyse geeft namelijk inzichten in welke stappen nog moeten worden ondernomen met betrekking tot de aanpassing van beleid, processen, controlemaatregelen en contracten met dienstverleners. De implementatie van de gesignaleerde tekortkomingen moet niet worden onderschat, want in de praktijk blijkt dat sommige aanpassingen mogelijk veel doorlooptijd vergen.

2. Een overkoepelend overzicht ontbreekt

Voorbeelden hiervan zijn het vereiste informatieregister, het ‘DORA compliant’ maken van de (registratie van) contracten met kritieke en niet kritieke ICT-dienstverleners en de monitoring van gehele uitbestedingsketens en de rapportages hierover. Om de benodigde informatie over ICT-contracten in het informatieregister vast te kunnen leggen, is data benodigd uit verschillende bestaande administratieve systemen. Deze is vaak niet centraal in de organisatie belegd. In veel gevallen zijn systeemaanpassingen noodzakelijk om tot één centrale vastlegging te komen.

Het realiseren van de hierboven geschetste punten vergt overleg met uw ICT- dienstverleners en mogelijk ook aanpassingen (met doorlooptijd) bij uw ICT- dienstverlener. Mogelijk is het nodig dat uw ICT-dienstverlener de monitoring van de uitbestedingsketens verder aanscherpt in overleg met haar onderuitbestedingsrelaties. Dit kan veel tijd kosten.

3. De reeds gestarte implementatieprogramma’s zijn vaak nog niet vergevorderd

Uit de uitvraag blijkt tegelijkertijd dat er ook veel instellingen zijn die de gap-analyse hebben afgerond en al van start zijn gegaan met de implementatie van hun programma’s. Daarbij valt op dat er nog de nodige inspanningen verricht moeten worden om de reeds geïdentificeerde gaps te dichten.

Het implementeren van aanpassingen, zoals eerder benoemd, kan veel doorlooptijd vergen. Daarom moedigt DNB instellingen aan de voorbereiding op DORA gestructureerd en voortvarend op te pakken. Een programma onder verantwoordelijkheid van het bestuur of de directie, waarvan de voortgang wordt bewaakt en waarover periodiek wordt gerapporteerd, draagt positief bij aan een tijdige implementatie van DORA.

Wat komt er op instellingen af na 17 januari 2025?

Na de implementatiedeadline van 17 januari 2025 moeten instellingen voldoen aan zowel de DORA-verordening als de onderliggende RTS/ITS. DNB verwacht in het eerste kwartaal van 2025 het informatieregister op te vragen met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten. Dit ten behoeve van de Europese aanwijzing van kritieke derde aanbieders van ICT-diensten (CTPP’s) binnen het Oversight Framework van DORA. Tegelijkertijd is het noodzakelijk dat instellingen een proces hebben ingericht voor het melden van ICT-incidenten, dat voldoet aan de DORA-eisen. Onderzoeken en uitvragen worden risicogebaseerd en proportioneel ingezet ten aanzien van het toezicht op de naleving van DORA.

Wat kunnen instellingen doen om tijdig te voldoen aan DORA?

• Als u de gap-analyses op DORA nog niet heeft uitgevoerd of afgerond, is het belangrijk om deze zo snel mogelijk af te ronden.
• Stel een door de RvB/directie bekrachtigd programma, project en/of actieplan(nen) op, met tijdlijnen, prioritering en verantwoordelijken, om de door u geïdentificeerde gaps te dichten en de daarvoor benodigde middelen te alloceren.
• Monitor periodiek de voortgang van het implementatieplan.
• Verkrijg toereikende ‘assurance’, in de vorm van (assurance)rapporten, over de naleving van DORA in uw eigen organisatie en van de externe ICT-dienstverleners over de gehele keten.
• Voor interpretatie van de DORA regelgeving en RTS/ITS verwijzen wij u naar de Q&A op de website van EIOPA [zie: Q&A on regulation - European Union (europa.eu)] waarin reeds interpretatievragen vanuit de sector zijn beantwoord. Wanneer uw vraag nog niet beantwoord is, kunt u om nadere duiding vragen.

Welke rol is er voor de Good Practice Informatiebeveiliging als DORA van kracht geworden is?

Vanaf 17 januari 2025 is DORA het wettelijke kader voor operationele weerbaarheid en vervangt daarmee de huidige Good Practice Informatiebeveiliging 2023 voor de instellingen die onder de reikwijdte van DORA vallen. DNB zal DORA als wettelijk kader hanteren bij toekomstige uitvragen en onderzoeken. U kunt de Good Practice Informatiebeveiliging 2023 als wegwijzer gebruiken om prioriteit te geven aan maatregelen die de belangrijkste risico’s mitigeren.