DORA is vanaf 17 januari 2025 van toepassing en zal op de volgende manieren onderdeel zijn van personentoetsingen:
- Bij de beoordeling van het aangeleverde toetsingsdossier wordt kennis en ervaring op het gebied van ICT-risicomanagement meegewogen. Een nadere toelichting hierover kan worden gedeeld in de besluitvorming en overwegingen bij de benoeming en/of in de toelichting van de geschiktheidsmatrix.
- Ook in toetsingsgesprekken kan DORA aan de orde komen. Een kandidaat kan worden gevraagd naar zijn of haar kennis van DORA, ICT- risicomanagement en de digitale weerbaarheid van de instelling.
Verwachtingen
Bij het beoordelen van de geschiktheid hanteert DNB de geschiktheidsonderwerpen A t/m E zoals opgenomen in de Beleidsregel geschiktheid 2012 | De Nederlandsche Bank. Van een kandidaat-bestuurder, -commissaris, -toezichthouder of andere (mede)beleidsbepaler wordt onder andere verwacht dat diegene:
- Kan aangeven wat onder DORA wordt verstaan en wat de belangrijkste eisen zijn die deze wetgeving stelt ten aanzien van digitale operationele weerbaarheid.
- Heeft, afhankelijk van zijn of haar functie, in voldoende mate kennis en ervaring op het gebied van ICT-risicomanagement, ICT-incidenten, het (periodiek) testen van digitale operationele weerbaarheid, de beheersing van uitbestedingsrisico’s en de samenwerking rond uitwisseling van informatie over cyberdreigingen.
- Is in staat om ten aanzien van ICT-risicomanagement verantwoordelijkheid te dragen, op adequate wijze strategie en beleid te vormen en navolgbare beslissingen te nemen (of daarop toe te zien als interne toezichthouder).
- Beschikt in voldoende mate beschikt over relevante competenties zoals adaptief vermogen, helikopterzicht, omgevingssensitiviteit, onafhankelijke oordeelsvorming en overtuigingskracht.
Proportionele toepassing
Bij de toetsing houden we rekening met de specifieke functie, de aard, omvang, complexiteit en het risicoprofiel van de instelling en de samenstelling en het functioneren van het collectief. We verwachten daarom van een beleidsbepaler die verantwoordelijk is voor het ICT-risicobeheer meer diepgaande kennis, ervaring en competenties ten aanzien van aan DORA gerelateerde onderwerpen dan van een beleidsbepaler met een meer algemene portefeuille.
Meer informatie
Meer informatie over DORA vindt u op DORA | De Nederlandsche Bank. Voor vragen of opmerkingen over DORA gerelateerde onderwerpen bij toetsingen kunt u terecht bij het Expertisecentrum Toetsingen van DNB via toetsing.expertisecentrum@dnb.nl.