Financiële instellingen zijn enorm afhankelijk van hun IT-systemen. Ernstige storingen in netwerk- en informatiesystemen - bijvoorbeeld door een cyberaanval - kunnen grote economische gevolgen hebben. Om deze risico’s het hoofd te bieden heeft Europa de Digital Operational Resilience Act (DORA) aangenomen. Deze wetgeving vergroot de digitale weerbaarheid van de financiële sector. Financiële entiteiten hebben tot januari 2025 om de wet te implementeren, maar ook hun IT-dienstverleners moeten zich goed voorbereiden op DORA want bepaalde regels gelden ook voor hen.
Wat is DORA?
De wet digitale operationele veerkracht moet ervoor zorgen dat de financiële sector in Europa bij ernstige operationele verstoringen veerkrachtig blijft functioneren. Koste wat kost moet voorkomen worden dat het betalingsverkeer stil komt te liggen door cyberaanvallen of andere IT-incidenten.
Met DORA introduceert Europa één standaard op het gebied van ICT-weerbaarheid en risicomanagement in de Europese financiële sector. Deze wetgeving stelt uniforme eisen aan de beveiliging van netwerk- en informatiesystemen van bedrijven en organisaties die actief zijn in de financiële sector.
Let op!
De regels gelden ook voor cruciale derde partijen die hen ICT-gerelateerde diensten verlenen, zoals cloudplatforms, managed services en data-analyse.
Voor wie geldt DORA?
De DORA moet deelnemers aan het financiële systeem de nodige garanties geven om cyberaanvallen en andere risico's te beperken. Het gaat hierbij onder meer om banken, verzekeraars, handelsplatformen, beleggingsinstellingen en aanbieders van crypto-activadiensten. Daarnaast geldt de DORA voor ICT-leveranciers van financiële bedrijven en voor (ICT-)bedrijven die zelf financiële diensten leveren.
De DORA houdt overigens rekening met de grootte, het risicoprofiel en het systeembelang van betrokken organisaties. Het proportionaliteitsbeginsel wordt hierbij toegepast, waardoor niet alle financiële entiteiten aan dezelfde strenge eisen hoeven te voldoen.
Welke eisen stelt de DORA aan de IT van financiële entiteiten?
De DORA eist van financiële instellingen en hun ICT-leveranciers dat zij bestand zijn tegen allerlei soorten ICT-verstoringen en -dreigingen.
De wetgeving is opgesplitst in diverse onderdelen. Hieronder schetsen we de belangrijkste en lichten we ze kort toe.
ICT-risicobeheer
In de DORA staat dat financiële entiteiten moeten beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer, als onderdeel van hun algemeen risicobeheersysteem. Dit kader stelt hen in staat om ICT-risico’s snel, efficiënt en zo volledig mogelijk aan te pakken en een hoog niveau van digitale operationele weerbaarheid te waarborgen.
Om alle informatie- en ICT-activa van een financiële entiteit te kunnen beschermen omvat het kader voor ICT-risicobeheer ten minste:
strategieën;
beleidslijnen;
procedures;
ICT-protocollen; en
instrumenten.
De DORA verplicht ook dat het kader voor ICT-risicobeheer periodiek (veelal jaarlijks) wordt geëvalueerd en intern geaudit, waarbij uitzonderingen gelden voor kleine ondernemingen.
ICT-gerelateerde incidentrapportages
Financiële entiteiten zorgen voor een beheerproces rondom ICT-gerelateerde incidenten, om zo ICT-gerelateerde incidenten te detecteren, te beheren en te melden aan bevoegde autoriteiten.
Het is de bedoeling dat financiële entiteiten alle ICT-gerelateerde incidenten en significante cyberdreigingen registreren. Daarnaast moeten er processen en procedures ingericht worden voor de continue monitoring, behandeling en follow-up van ICT-gerelateerde incidenten.
Digitale operationele veerkrachttesten
De digitale operationele weerbaarheid van financiële entiteiten moet periodiek getest worden. Ontdekte zwakheden, gebreken en lacunes worden uiteraard zo snel mogelijk gecorrigeerd.
Beheer van ICT-risico’s van derden (ICT-leveranciers)
Financiële entiteiten dragen de volledige verantwoordelijkheid voor de naleving van de DORA, ook als zij hun IT-diensten uitbesteden aan derde partijen. Daarom moeten zij een toezichtkader inrichten voor kritische externe ICT-dienstverleners (waar de financiële organisatie van afhankelijk is) om digitale risico's te monitoren.
Zo dient een kritieke externe ICT-dienstverlener over uitgebreide, degelijke en effectieve regels, procedures, mechanismen en regelingen te beschikken om de ICT-risico's te beheersen die hij voor financiële entiteiten kan opleveren.
Uitwisseling van informatie
Financiële organisaties kunnen onderling informatie en inlichtingen over cyberdreigingen uitwisselen, zoals tactieken, technieken en procedures, cyberbeveiligingswaarschuwingen en configuratietools.
Hoe nu verder?
De DORA is formeel aangenomen in Europa en rechtstreeks toepasselijk in elke lidstaat. Daarnaast moet een deel van de verordening nog worden uitgewerkt in nadere regelgeving en door elke EU-lidstaat in wetgeving worden omgezet. Ook door Nederland.
Tegelijkertijd ontwikkelen de betrokken Europese toezichthoudende autoriteiten technische normen waaraan alle instellingen voor financiële diensten zich moeten houden. De nationale bevoegde autoriteiten zullen het toezicht vervolgens op zich nemen en de DORA vanaf januari 2025 handhaven.
U heeft nu dus nog 2 jaar om aan de DORA te voldoen en u kunt zich nu al voorbereiden op de komst van de DORA.
Hoe?
Door de DORA goed door te nemen en te bepalen welke regels voor uw organisatie relevant zijn. Voor financiële entiteiten betekent de DORA een ingrijpende verandering in de huidige processen en maatregelen die getroffen worden tegen cyberdreigingen en het voorkomen van ICT-gerelateerde incidenten.
Ook voor ICT-leveranciers is het zaak om de DORA goed te bestuderen om te kunnen voldoen aan de eisen die de DORA aan financiële entiteiten en hun leveranciers stelt. Niet alleen op het gebied van ICT-risicobeheersing, maar ook contractueel heeft de DORA bijvoorbeeld gevolgen.
Zo moeten financiële entiteiten ervoor zorgen dat ze hun overeenkomst met een ICT-leverancier onder bepaalde omstandigheden kunnen beëindigen. Onder meer bij ernstige overtreding van de wet en bij klaarblijkelijke zwakheden in verband met het algemeen beheer van het ICT-risico.
Blijf op de hoogte!
Op de hoogte blijven van deze en andere ontwikkelingen op het gebied van ICT-recht? Meldt u zich dan nu aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.