De Europese Commissie wil de digitale weerbaarheid van de financiële sector vergroten. Cyberaanvallen en andere ICT-dreigingen moeten nodig worden beperkt. Daarom heeft de Commissie een voorstel gedaan voor de Digital Operational Resilience Act (DORA). Naar verwachting treedt DORA eind 2022 in werking.

Wat is het doel van deze nieuwe Europese verordening?

Het doel van DORA is de introductie van een standaard op het gebied van ICT-weerbaarheid en risicomanagement in de Europese bancaire sector.

Waarom?

Omdat de afhankelijkheid van digitale processen in de financiële sector verder toeneemt. Net als het aantal gerichte cyberaanvallen op financiële organisaties.

De gevolgen voor organisaties en hun klanten kunnen dan heel groot zijn. Bedrijven, overheden en burgers kunnen in het ergste geval niet meer aan geld komen en geen betalingen verrichten.

Voor wie is de DORA?

online shopping.jpg

De DORA moet deelnemers aan het financiële systeem de nodige garanties geven om cyberaanvallen en andere risico's te beperken. In dit wetgevingsvoorstel moeten bedrijven ervoor zorgen dat zij stand kunnen houden tegen allerlei soorten ICT-onderbrekingen en -dreigingen.

Het gaat hierbij om banken en verzekeraars, maar ook intermediairs, audit bedrijven en aanbieders van crypto-activadiensten worden ertoe gerekend. Daarnaast geldt de DORA ook voor ICT-leveranciers van financiële bedrijven en voor (ICT-)bedrijven die zelf financiële diensten leveren.

De 3 hoofddoelen van DORA

De Europese Commissie heeft een drietal hoofddoelen voor ogen met de DORA:

  1. De versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren.

  2. Een basiskader scheppen voor financiële organisaties waarvoor op dit moment nog geen regelgeving is.

  3. Het verminderen van risico’s van uitbesteding door de financiële sector aan (kritieke) digitale derde dienstverleners.

In de DORA staan onder meer eisen voor financiële organisaties ten aanzien van:

cyber-q.jpg

  • IT-risicomanagement;

  • periodieke testen van digitale weerbaarheid; en

  • de beheersing van risico’s bij uitbesteding aan (kritieke) derden.

Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van de organisaties.

Er zijn nu al (Europese) regels op het gebied van cyberrisico’s, maar deze zijn beperkt en versnipperd. Voor sommige financiële organisaties zijn er slechts regels op landelijk niveau of zijn er zelfs helemaal geen regels. Dat leidt tot inconsistenties in wet- en regelgeving tussen lidstaten en zorgt voor onnodige kosten voor de financiële sector.

Wat staat er verder in de DORA?

De opzet van de DORA is kort samengevat als volgt :

  • Algemene bepalingen en regels inzake ICT-governance (hoofdstuk I);

  • ICT-risicobeheer (hoofdstuk II);

  • ICT-gerelateerde incidentrapportages beheren en nieuwe eisen introduceren (hoofdstuk III);

  • Digitale operationele veerkrachttesten (hoofdstuk IV);

  • Beheer van ICT-risico's van derden (hoofdstuk V). Dit bevat een toezichtkader voor kritische externe ICT-dienstverleners (waar de financiële organisatie van afhankelijk is) om digitale risico's te monitoren. Zo moet een kritieke externe ICT-dienstverlener over uitgebreide, degelijke en effectieve regels, procedures, mechanismen en regelingen beschikken om de ICT-risico's te beheersen die hij voor financiële entiteiten kan opleveren.

  • Informatie-uitwisseling (hoofdstuk VI). Financiële organisaties kunnen onderling informatie en inlichtingen over cyberdreigingen uitwisselen, zoals tactieken, technieken en procedures, cyberbeveiligingswaarschuwingen en configuratietools;

  • Ook geeft het financiële toezichthouders toezichthoudende, onderzoeks- en sanctiebevoegdheden die nodig zijn om hun taken te vervullen (hoofdstuk VII). Zo krijgen zij toegang tot alle documenten bij organisaties indien de bevoegde autoriteit dit nodig acht, mogen zij inspecties of onderzoeken ter plaatse uitvoeren; ook mogen zij corrigerende maatregelen vereisen en sancties opleggen bij inbreuken op de vereisten van de verordening.

Vervolgstappen

Het voorstel voor DORA wordt momenteel besproken in de Europese Raad. Naar verwachting zal de verordening op zijn vroegst eind 2022 in werking treden. DORA is onderdeel van het Digital Finance Package van de Europese Commissie.

Update 01-2022: Wordt 2022 het jaar van de digitale Europese wetten DSA, DMA en DORA?

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Meld u dan nu aan voor onze maandelijkse nieuwsbrief en krijg onze blogs automatisch in uw inbox.