ICT-risicomanagement onder DORA onderdeel van personentoetsingen

Nieuwsbericht toezicht
Lees voor

Met de Digital Operational Resilience Act (DORA) wordt van instellingen in de financiële sector verwacht dat ze digitaal weerbaar zijn en hun ICT-risicomanagement op orde hebben. Dit stelt specifieke eisen aan de kennis en ervaring van de personen die het beleid van deze instellingen bepalen. 

Gepubliceerd: 28 november 2024

Toorop 2023

© DNB

DORA is vanaf 17 januari 2025 van toepassing en zal op de volgende manieren onderdeel zijn van personentoetsingen: 

  • Bij de beoordeling van het aangeleverde toetsingsdossier wordt kennis en ervaring op het gebied van ICT-risicomanagement meegewogen. Een nadere toelichting hierover kan worden gedeeld in de besluitvorming en overwegingen bij de benoeming en/of in de toelichting van de geschiktheidsmatrix. 
  • Ook in toetsingsgesprekken kan DORA aan de orde komen. Een kandidaat kan worden gevraagd naar zijn of haar kennis van DORA, ICT- risicomanagement en de digitale weerbaarheid van de instelling. 

Verwachtingen 

Bij het beoordelen van de geschiktheid hanteert DNB de geschiktheidsonderwerpen A t/m E zoals opgenomen in de Beleidsregel geschiktheid 2012 | De Nederlandsche Bank. Van een kandidaat-bestuurder, -commissaris, -toezichthouder of andere (mede)beleidsbepaler wordt onder andere verwacht dat diegene: 

  • Kan aangeven wat onder DORA wordt verstaan en wat de belangrijkste eisen zijn die deze wetgeving stelt ten aanzien van digitale operationele weerbaarheid. 
  • Heeft, afhankelijk van zijn of haar functie, in voldoende mate kennis en ervaring op het gebied van ICT-risicomanagement, ICT-incidenten, het (periodiek) testen van digitale operationele weerbaarheid, de beheersing van uitbestedingsrisico’s en de samenwerking rond uitwisseling van informatie over cyberdreigingen.  
  • Is in staat om ten aanzien van ICT-risicomanagement verantwoordelijkheid te dragen, op adequate wijze strategie en beleid te vormen en navolgbare beslissingen te nemen (of daarop toe te zien als interne toezichthouder).  
  • Beschikt in voldoende mate beschikt over relevante competenties zoals adaptief vermogen, helikopterzicht, omgevingssensitiviteit, onafhankelijke oordeelsvorming en overtuigingskracht. 

Proportionele toepassing 

Bij de toetsing houden we rekening met de specifieke functie, de aard, omvang, complexiteit en het risicoprofiel van de instelling en de samenstelling en het functioneren van het collectief. We verwachten daarom van een beleidsbepaler die verantwoordelijk is voor het ICT-risicobeheer meer diepgaande kennis, ervaring en competenties ten aanzien van aan DORA gerelateerde onderwerpen dan van een beleidsbepaler met een meer algemene portefeuille. 

Meer informatie  

Meer informatie over DORA vindt u op DORA | De Nederlandsche Bank. Voor vragen of opmerkingen over DORA gerelateerde onderwerpen bij toetsingen kunt u terecht bij het Expertisecentrum Toetsingen van DNB via toetsing.expertisecentrum@dnb.nl

Ontdek gerelateerde artikelen

Interessante artikelen

DNB maakt gebruik van cookies

Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies. 
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.

Om de website goed te laten werken plaatst De Nederlandsche Bank (DNB) zogeheten functionele cookies en analytics cookies. Maatregelen zijn genomen teneinde zeker te stellen dat deze cookies geen of maar weinig gevolgen heeft voor de privacy van bezoekers.

Op sommige pagina's wordt content van externe websites ingesloten. Deze websites kunnen gebruik maken van eigen (tracking) cookies. Hiermee kunnen derde partijen bijvoorbeeld bezoekersstatistieken bijhouden, gepersonaliseerde content tonen en gerichte advertenties tonen. U kunt zowel bij uw eerste bezoek aan de website als op het moment dat u op een pagina met ingesloten content komt, uw keuze maken over het toestaan van deze optionele cookies.