Twee jaar geleden werd voor het eerst een voorgestelde tekst van de Digital Operational Resilience Act (DORA) gepubliceerd. Op dat moment leek de inwerkingtreding van DORA nog ver weg. Inmiddels begint de legal framework, die moet zorgen voor meer digitale weerbaarheid bij financiële instellingen in Europese lidstaten, duidelijk vorm te krijgen.
Op 23 juni 2022 werd de compromistekst van DORA gepubliceerd. Dit voorstel zal waarschijnlijk de definitieve tekst van de Europese wet/regelgeving bevatten. Hoog tijd dus om je te gaan verdiepen in DORA en de impact ervan op jouw organisatie.
DORA is een pakket maatregelen om digitale innovatie in de financiële sector te bevorderen en tegelijkertijd de daaruit voortvloeiende risico's te beperken. Het is het eerste wettelijke kader voor ICT weerbaarheid voor vele soorten organisaties en voor de toezichthouder, en geeft concrete invulling aan de 'gecontroleerde operaties'-norm voor dit onderwerp. DORA bouwt voort op reeds bestaande wettelijke vereisten op het gebied van ICT risk management. DORA borduurt voort op alle wettelijke vereisten op dit gebied met als doel meer harmonisatie binnen de EU, toezichthouders en financiële ondernemingen.
DORA is onderverdeeld in vijf inhoudelijke hoofdstukken. Elk hoofdstuk bevat verschillende vereisten waaraan financiële instellingen moeten voldoen.
Hoofdstuk | Onderwerp | Doel |
Hoofdstuk II (art. 4-14) | ICT Risk Management, bestaande uit een onderdeel Governance en ICT Risk Management | Ervoor zorgen dat financiële ondernemingen adequaat ICT-risicomanagement hebben ingericht |
Hoofdstuk III(art. 15 - 20) | ICT-gerelateerde incidenten: beheer, classificatie en rapportage | Het borgen van een adequaat proces/procedure voor het rapporteren, adresseren en beheren van alle ICT gerelateerde incidenten |
Hoofdstuk IV (art. 21-24) | Digitale operationele veerkracht testen | Financiële ondernemingen worden verantwoordelijk voor het continu testen en beoordelen van de adequaatheid van maatregelen en de veerkracht van ICT-systemen, zodat mogelijke kwetsbaarheden aan het licht komen. |
Hoofdstuk V (art. 25 -39) | Beheer van ICT-diensten van derden risk: -Deel 1: basisprincipes voor goed beheer van ICT-diensten van derden risk -Deel 2: toezichtkader voor kritische derden-leveranciers van ICT-diensten | Ervoor zorgen dat financiële ondernemingen een gedegen monitoring inrichten van het ICT-risico van derde aanbieders/ICT dienstverleners/Cloud Service Providers. |
Hoofdstuk VI (art. 40) | Regelingen voor informatie-uitwisseling | De Verordening maakt het mogelijk dat bedrijven informatie over cyberdreigingen delen. |
De volgende vraag is natuurlijk of DORA ook op uw bedrijf van toepassing is. In artikel 2 lid 1 worden de financiële instellingen genoemd waarop de verordening van toepassing is. Lid 3 van hetzelfde artikel geeft een lijst van uitgesloten ondernemingen. Deze lijst is aanzienlijk korter. Wel worden bijvoorbeeld AIFMD-light managers uitgesloten. Ook is DORA niet van toepassing op kredietverstrekkers, financiële dienstverleners die adviseren of bemiddelen op het gebied van krediet, en wettelijke auditors en auditkantoren. Deze laatste categorie was nog wel van toepassing in de vorige versie van DORA.
De tabel hieronder laat zien op welke organisaties DORA wel en niet van toepassing is.
Van toepassing op | Niet van toepassing op |
Aanbieder van tokens met verwijzing naar activa | AIFMD-light managers |
Aanbieders van rekeninginformatie | Instellingen voor bedrijfspensioenvoorziening met in totaal minder dan 15 deelnemers |
Beheerders van alternatieve beleggingen | Natuurlijke of rechtspersonen die zijn vrijgesteld van Mifid2/Richtlijn 2014/65/EU als gevolg van Art. 2 en 3. |
Belangrijkste benchmarkbeheerders | Verzekeringsondernemingen die voldoen aan de voorwaarde van artikel 4 van Richtlijn 2009/138/EG |
Beheerders van icbe's | Verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen die als micro-, kleine of middelgrote onderneming zijn ingedeeld. |
Beleggingsondernemingen | |
Betalingsinstellingen | |
Centrale effectenbewaarinstellingen | |
Centrale tegenpartijen | |
Crowdfunding dienstverleners | |
Aanbieders van cryptodiensten | |
Data leveranciers van rapportagediensten | |
Externe leveranciers van ICT-diensten | |
Instellingen voor elektronisch geld | |
Handelsplatformen | |
Instellingen voor bedrijfspensioenvoorziening | |
Kredietinstellingen | |
Kredietbeoordelingsbureaus | |
Effectiseringsregisters | |
Verzekerings- en herverzekeringsmaatschappijen | |
Verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen |
Het Europese wetgevingsproces verschilt niet veel van dat van Nederland, in die zin dat er compromissen worden gesloten. Zo komt het regelmatig voor dat het eerste voorstel voor nieuwe regelgeving in gewijzigde vorm wordt aangenomen. Eind juni werd de zogenaamde 'compromistekst' van DORA gepubliceerd. De compromistekst introduceerde een aantal wijzigingen.
De belangrijkste wijziging is de toevoeging van het proportionaliteitsprincipe, te vinden in art. 3a. Bij het implementeren van de vereisten van hoofdstuk II (ICT-risicobeheer) kan rekening worden gehouden met de omvang, aard en complexiteit van de organisatie en haar diensten in verhouding tot het totale risicoprofiel. In hoofdstuk III (Beheer van ICT-incidenten), hoofdstuk IV (Testen van de digitale operationele veerkracht) en deel 1 van hoofdstuk V (ICT-risico's van derden) mag dit ook gebeuren, maar alleen zoals specifiek bepaald in die hoofdstukken. Het is aan de toezichthouders om te beoordelen of de bedrijven het evenredigheidsbeginsel correct hebben toegepast door het ICT risk kader te beoordelen.
Artikel 14a is is geheel nieuw en beschrijft een vereenvoudigde benadering van het ICT risk managementkader voor organisaties waarop de artikelen 4 tot en met 14 niet van toepassing zijn. Hieronder vallen de 'kleine en niet-verweven beleggingsondernemingen', de zogenaamde categorie 3 beleggingsondernemingen. Zij moeten wel een ICT risk raamwerk implementeren waaruit blijkt dat de belangrijkste ICT-risico's (periodiek) worden beheerd en beoordeeld.
Een tweede belangrijke wijziging is het moment waarop bedrijven moeten voldoen aan de eisen van DORA. In het eerste voorstel was dit nog 12 maanden na inwerkingtreding, maar dit is nu verlengd naar 24 maanden. Geen overbodige luxe, gezien de grote impact van DORA.
Daarbovenop moeten de Europese toezichthouders (ESA's) nog een aantal 'Regulatory Technical Standards' ontwikkelen om de markt meer richting te geven over de interpretatie van bepaalde artikelen. Denk bijvoorbeeld aan standaarden voor het melden van ICT-incidenten.
Tot slot zijn er verschillende inhoudelijke wijzigingen en toevoegingen. Een daarvan is de verplichting voor bedrijven om een Business Impact Assessment uit te voeren als onderdeel van het Business Continuity Policy.
Een tweede inhoudelijke wijziging is dat ICT-incidenten en cyberdreigingen nu moeten worden geclassificeerd en gemeld aan de toezichthouder. Voor ICT-gerelateerde incidenten was dit al de case. De ESA's zullen hiervoor ook technische normen ontwikkelen.
Op 17 januari 2025 wordt DORA van toepassing. Financiële entiteiten zullen dan moeten voldoen aan DORA en de technische reguleringsnormen die nog worden ontwikkeld door de Europese toezichthoudende autoriteiten. Wij adviseren u om nu al te beginnen met de implementatie van DORA .
Lees ook: 'DORA geldt in 2025; afwachten of tijd voor actie?
De komst van DORA maakt een einde aan de versnippering van wettelijke verplichtingen voor ICT-processen en -beveiliging. Wij helpen u graag om de onderliggende vereisten te begrijpen en welke impact DORA op uw organisatie zal hebben.
De komende maanden zullen we dit uitgebreide pakket maatregelen stap voor stap aan u toelichten. We gaan onder andere in op de nog te ontwikkelen Regulatory Technical Standards, de aanpak van Digital Operational Resilience Testing en de invulling van ICT risico management. Wilt u op de hoogte blijven van onze publicaties? Meld u dan aan voor onze maandelijkse nieuwsbrief.
Heb je vragen over DORA? Neem gerust contact met ons op.