Waarschuwing: oplichters actief! Oplichters bellen of e-mailen u en doen alsof ze van De Nederlandsche Bank zijn. Ga hier niet op in! Wij bellen of e-mailen u nooit. En wij vragen u nooit om gegevens of om geld over te maken. Lees meer

ICT-risicomanagement onder DORA onderdeel van personentoetsingen

Nieuwsbericht toezicht
Lees voor

Met de Digital Operational Resilience Act (DORA) wordt van instellingen in de financiële sector verwacht dat ze digitaal weerbaar zijn en hun ICT-risicomanagement op orde hebben. Dit stelt specifieke eisen aan de kennis en ervaring van de personen die het beleid van deze instellingen bepalen. 

Gepubliceerd: 28 november 2024

Toorop 2023

© DNB

DORA is vanaf 17 januari 2025 van toepassing en zal op de volgende manieren onderdeel zijn van personentoetsingen: 

  • Bij de beoordeling van het aangeleverde toetsingsdossier wordt kennis en ervaring op het gebied van ICT-risicomanagement meegewogen. Een nadere toelichting hierover kan worden gedeeld in de besluitvorming en overwegingen bij de benoeming en/of in de toelichting van de geschiktheidsmatrix. 
  • Ook in toetsingsgesprekken kan DORA aan de orde komen. Een kandidaat kan worden gevraagd naar zijn of haar kennis van DORA, ICT- risicomanagement en de digitale weerbaarheid van de instelling. 

Verwachtingen 

Bij het beoordelen van de geschiktheid hanteert DNB de geschiktheidsonderwerpen A t/m E zoals opgenomen in de Beleidsregel geschiktheid 2012 | De Nederlandsche Bank. Van een kandidaat-bestuurder, -commissaris, -toezichthouder of andere (mede)beleidsbepaler wordt onder andere verwacht dat diegene: 

  • Kan aangeven wat onder DORA wordt verstaan en wat de belangrijkste eisen zijn die deze wetgeving stelt ten aanzien van digitale operationele weerbaarheid. 
  • Heeft, afhankelijk van zijn of haar functie, in voldoende mate kennis en ervaring op het gebied van ICT-risicomanagement, ICT-incidenten, het (periodiek) testen van digitale operationele weerbaarheid, de beheersing van uitbestedingsrisico’s en de samenwerking rond uitwisseling van informatie over cyberdreigingen.  
  • Is in staat om ten aanzien van ICT-risicomanagement verantwoordelijkheid te dragen, op adequate wijze strategie en beleid te vormen en navolgbare beslissingen te nemen (of daarop toe te zien als interne toezichthouder).  
  • Beschikt in voldoende mate beschikt over relevante competenties zoals adaptief vermogen, helikopterzicht, omgevingssensitiviteit, onafhankelijke oordeelsvorming en overtuigingskracht. 

Proportionele toepassing 

Bij de toetsing houden we rekening met de specifieke functie, de aard, omvang, complexiteit en het risicoprofiel van de instelling en de samenstelling en het functioneren van het collectief. We verwachten daarom van een beleidsbepaler die verantwoordelijk is voor het ICT-risicobeheer meer diepgaande kennis, ervaring en competenties ten aanzien van aan DORA gerelateerde onderwerpen dan van een beleidsbepaler met een meer algemene portefeuille. 

Meer informatie  

Meer informatie over DORA vindt u op DORA | De Nederlandsche Bank. Voor vragen of opmerkingen over DORA gerelateerde onderwerpen bij toetsingen kunt u terecht bij het Expertisecentrum Toetsingen van DNB via toetsing.expertisecentrum@dnb.nl

Ontdek gerelateerde artikelen

Interessante artikelen