De Europese Unie heeft een verordening betreffende digitale operationele weerbaarheid in de financiële dienstensector van de EU (“DORA”) uitgevaardigd. Deze verordening is bedoeld om de risico-eisen voor informatie- en communicatietechnologie (ICT) in de gehele financiële sector te consolideren en te verbeteren, zodat alle deelnemers aan het financiële stelsel aan een gemeenschappelijke reeks normen worden onderworpen om de ICT-risico’s voor hun activiteiten te beperken.
DORA moet ervoor zorgen dat alle deelnemers aan het financiële stelsel over de nodige waarborgen beschikken om cyberaanvallen en andere risico’s te beperken. De wetgeving verplicht bedrijven ervoor te zorgen dat zij bestand zijn tegen alle soorten ICT-gerelateerde verstoringen en bedreigingen. Zij introduceert ook een toezichtskader voor kritische derden, zoals aanbieders van clouddiensten.
Digital Operational Resilience Act
De voorgestelde Wet bestaat uit een aantal belangrijke onderdelen:
- Vereisten voor ICT-risicobeheer.
Teneinde op de hoogte te blijven van het snel evoluerende landschap van cyberdreigingen moeten financiële instellingen processen en systemen opzetten die de impact van ICT-risico’s tot een minimum beperken. ICT-risico’s moeten voortdurend uit allerlei bronnen worden opgespoord en worden aangepakt door middel van interne controlemaatregelen, rampen- en herstelplannen om de integriteit, veiligheid en veerkracht van ICT-systemen en fysieke infrastructuren die de ICT-processen binnen het bedrijf ondersteunen, te waarborgen. - Rapportage van ICT-gerelateerde incidenten.
Het DORA schrijft voor dat passende processen worden opgezet om te zorgen voor een consistente en geïntegreerde bewaking, behandeling en follow-up van ICT-gerelateerde incidenten, met inbegrip van de identificatie en uitroeiing van de onderliggende oorzaken om te voorkomen dat dergelijke incidenten zich opnieuw voordoen. - Testen van de digitale operationele veerkracht (Digital operational resilience testing of DORT).
De vermogens en functies binnen het ICT-risicobeheerkader moeten periodiek worden beoordeeld om zwakke punten, tekortkomingen en lacunes op te sporen en corrigerende maatregelen uit te voeren om deze op te lossen. Er is specifieke aandacht besteed aan “Threat-Led Pen Testing” (TLPT) waarmee financiële entiteiten penetratietests kunnen uitvoeren op basis van de bedreigingen waaraan zij blootstaan. - ICT-risico voor derden.
Wegens het toenemende gebruik van derde ICT-leveranciers zijn financiële entiteiten verplicht derde ICT-leveranciers gedurende de gehele levenscyclus (van het sluiten van het contract tot de beëindiging en de postcontractuele fasen) te beheren op basis van de in het DORA voorgeschreven minimumvereisten. - Informatie-uitwisselingsovereenkomsten.
Met het oog op bewustwording en groei geeft de verordening ruimte aan financiële entiteiten om informatie en inlichtingen over cyberdreigingen uit te wisselen.
Voor wie?
DORA heeft betrekking op een breed scala aan financiële instellingen, waaronder kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten, centrale effectenbewaarinstellingen, beheerders van alternatieve beleggingsfondsen, aanbieders van crowdfundingdiensten en andere externe ICT-dienstverleners.
Maar uniek aan het DORA is dat het niet alleen van toepassing is op financiële organisaties, zoals banken, verzekeringsmaatschappijen, beleggingsondernemingen, beurzen, enz. Voor het eerst wordt ook een groep niet-financiële dienstverleners onder het toezicht van de financiële toezichthouders gebracht, namelijk de zogenaamde ICT-dienstverleners van derden. Deze organisaties leveren ICT-gerelateerde diensten aan de financiële organisaties, zoals cloud computing-diensten, software, data-analysediensten en datacenters.
Veel ondernemingen die dus voorheen niet onder specifieke ICT-regelgeving vielen, vallen nu wel onder het toepassingsgebied van de DORA.
Wanneer gaat DORA in?
DORA is een hoeksteen van de werkzaamheden van de EU op het gebied van digitale financiering. Met DORA verbreden organisaties de focus: de financiële veerkracht van ondernemingen moet niet alleen worden geanalyseerd, maar ook worden aangetoond dat zij bestand zijn tegen, reageren op en herstellen van alle soorten ICT-gerelateerde verstoringen en bedreigingen.
DORA voert nieuwe nalevingsverplichtingen in voor de gehele financiële sector van de EU. Bovendien geeft het DORA de financiële toezichthouders rechtstreeks toezicht op ICT-aanbieders die van cruciaal belang zijn voor het financiële systeem van de EU.
De wet is vorig jaar al goedgekeurd maar de EU en haar toezichthouders hebben een periode van twee jaar (2023 & 2024) uitgetrokken voor bedrijven om zich op de DORA voor te bereiden en deze uit te voeren.
Per 2025 wordt de wet van kracht. Dit betekent dat de Europese toezichthouders zullen verwachten dat de door de DORA geschetste verplichte verslagen op hun verzoek beschikbaar zullen zijn, en deze zullen gebruiken om eventuele lacunes in de markt te beoordelen. Gedurende dit tijdsbestek moeten bedrijven zich concentreren op de ontwikkeling van het digitale veerkrachtkader. Tegen die tijd moeten zij ook bereid zijn de genoemde jaarlijkse evaluaties, tests en verslagen uit te voeren.
Tegen eind 2025 worden verplichte penetratietests van kracht en moet certificering door Europese toezichthouders worden verkregen.
