Wat is DORA?
DORA is een Europese verordening die tot doel heeft de digitale weerbaarheid van de financiële sector te vergroten. DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten. DORA bevindt zich momenteel in de implementatiefase: instellingen hebben tot 17 januari 2025 om aan de wetgeving te voldoen.
Totstandkoming DORA
DORA bestaat uit een verordening (level 1), technische standaarden (level 2) en richtsnoeren (level 3). De totstandkoming van de technische standaarden en richtsnoeren is opgedeeld in twee batches. De eerste batch werd in januari 2024 voor goedkeuring ingediend bij de Europese Commissie. De tweede batch was open voor publieke consultatie tot 4 maart 2024. Deze consultatie bevatte de standaarden voor onder andere de rapportage van ernstige ICT-gerelateerde incidenten en threat led penetration testing (TLPT). Batch 2 moet voor 17 juli 2024 worden ingediend bij de Europese Commissie (EC).
Implementatie van DORA
De implementatie van DORA vraagt de nodige aandacht van financiële instellingen. Ondanks het feit dat sommige informatie pas later in 2024 beschikbaar komt, is het voor financiële instellingen belangrijk om al zoveel mogelijk stappen te zetten om zich voor te bereiden. Hierbij valt te denken aan:
- Het maken van een gap-analyse op basis van de DORA level 1 en de eerste batch level 2 regelgeving met een activiteitenplan. Deze gap-analyse kunnen instellingen later aanscherpen op basis van de gepubliceerde finale tweede batch level 2 regelgeving. De level 2 regelgeving op risicomanagement en uitbesteding gaat met name voor een aantal sectoren op onderdelen veel verder dan de huidige wettelijke uitgangspunten. Denk hierbij aan de inrichting van een strategie gericht op operationele weerbaarheid, back-ups en herstel, het bedrijfscontinuïteitsplan, awareness-programma’s, crisisbeheer, de informatiebeveiligingsfunctie en het integreren van derde partijen binnen het ICT-risicoraamwerk.
- Het voeren van gesprekken met serviceproviders over de aanscherping van de wettelijke vereisten gericht op contractering, risicobeoordeling en monitoring. Serviceproviders moeten hun werkwijze eveneens aanscherpen. Instellingen kunnen ook al afspraken maken over het ontvangen van toereikende informatie ten behoeve van het Register of Information, zoals vormgegeven in de Implementing Technical Standards (ITS).
- Het zorgen dat de beheersing van ICT-risico’s over de gehele ICT-uitbestedingsketen(s) aantoonbaar wordt gewaarborgd. Hiervoor is het onder andere belangrijk om goede afspraken te maken met dienstverleners over de wijze waarop zij de financiële instelling kunnen aantonen dat de ICT-risico’s conform DORA worden beheerst.
- Het op niveau brengen en actueel houden van de kennis van bestuurders en interne toezichthouders met betrekking tot ICT-risicomanagement binnen de instelling.
In de loop van 2024 wordt meer bekend over de gevolgen van DORA voor bestaande guidelines en good practices op het gebied van digitale weerbaarheid en worden financiële instellingen aangewezen die threat led penetration testing (TLPT) moeten uitvoeren. Daarnaast komt er gedurende het jaar verdere informatie over het melden van ernstige ICT-incidenten en het rapporteren van de Registers of Information.
Wat doen de toezichthouders?
Ook DNB bereidt zich voor op DORA. Bijvoorbeeld door betrokkenheid bij de onderhandelingen over de technische standaarden en richtsnoeren, en de voorbereiding op de uitvoering van verschillende nieuwe toezichtstaken. Hierbij werkt DNB samen met de AFM. Daarnaast is DNB ook betrokken bij de inrichting van het DORA-toezicht binnen het Single Supervisory Mechanism (SSM), het gemeenschappelijke toezichtkader voor de bankensector in de Eurozone.
Wat kunnen instellingen van DNB verwachten?
DNB ziet toe op een gedegen voorbereiding op DORA. Hiertoe communiceert DNB gedurende het jaar regelmatig over de relevante ontwikkelingen. Dit gebeurt onder meer via nieuwsberichten, webinars, presentaties en rondetafelgesprekken.