BLOG: De Digital Operational Resilience Act (DORA): zo ben je er klaar voor
dinsdag 15 oktober 2024
Een groot aantal organisaties moet in 2025 voldoen aan de Digital Operational Resilience Act (DORA).
Ruben Grijpstra, adviseur bij L2P, vertelt wat er nodig is om goed voorbereid te zijn op de nieuwe regels.
De Digital Operational Resilience Act (DORA) is bedoeld om financiële instellingen weerbaarder te maken tegen cyberdreigingen, datalekken en ICT-gerelateerde risico's. De Europese verordening draait om vijf pijlers:
· risicomanagement rond ICT;
· de omgang met incidenten;
· weerbaarheidstesten;
· risicomanagement bij leveranciers en samenwerkingspartners; en
· informatie-uitwisseling over cyberrisico's.
DORA is sinds 16 januari 2023 van kracht. Met ingang van 17 januari 2025 moeten organisaties die opereren in de financiële sector voldoen aan alle vereisten van de verordening. In Nederland houden de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) toezicht op de naleving.
De belangrijkste gevolgen van DORA
DORA is van toepassing op zogenoemde financiële entiteiten. Het gaat om banken, beleggingsondernemingen en verzekeringsmaatschappijen, maar ook om bijvoorbeeld aanbieders van cryptoactivadiensten, credit raters en instellingen voor een bedrijfspensioenvoorziening. Daarnaast vallen leveranciers van ICT-diensten aan financiële instellingen onder de reikwijdte van de verordening. Denk aan leveranciers van software en cloudoplossingen, en aan aanbieders van cybersecuritydiensten.
De belangrijkste gevolgen van DORA zijn:
· Goede afspraken en contractbeheer in de gehele leveranciersketen worden extra belangrijk. Een van de
uitgangspunten van DORA is dat financiële entiteiten de werkwijze van ICT-dienstverleners en -leveranciers
monitoren, en erop toezien dat zij én de onderaannemers en samenwerkingspartijen op adequate wijze invulling
geven aan risicomanagement. Ook is het verplicht om een register te voeren met gedetailleerde informatie over alle
ICT-partners waarmee contracten zijn afgesloten.
· Er komt een extra meldplicht voor ICT-gerelateerde incidenten. Elk incident dat impact heeft op de dienstverlening
van de financiële instelling moet tijdig worden gemeld bij de toezichthouder.
· Het bestuur van een organisatie krijgt een sterkere rol in de omgang met cyberrisico's en -dreigingen. Het is niet
voldoende om het management regelmatig met een memo te informeren over de aanpak van digitale weerbaarheid.
Het bestuur moet actief zijn betrokken bij thema's zoals risicomanagement en bedrijfscontinuïteit rond ICT.
· Het wordt verplicht om geavanceerde beveiligingstesten uit te (laten) voeren. DORA stelt diverse eisen aan de digital
resilience testing, en de toezichthouder kan om inzage vragen in de resultaten.
Klaar voor DORA met een integrale aanpak
DORA gaat uit van een integrale aanpak van ICT-risico's. In 64 artikelen beschrijft de verordening de verplichte maatregelen. Daarnaast zijn de door de Europese toezichthouders opgestelde Regulatory Technical Standards (“RTS”) onverminderd van toepassing.
Wij zien dat veel organisaties nog niet in beeld hebben of zij onder DORA vallen. Als dat eenmaal duidelijk is, dan is de volgende vraag welke maatregelen je moet implementeren om aan de nieuwe regels te voldoen. Zelfs een organisatie die werkt volgens een normenkader, zoals ISO 27001, is niet automatisch DORA-compliant.
DORA, NIS2 en AVG
DORA is een aanvulling op de Network and Information Security directive (NIS2-richtlijn) van de Europese Unie, die is bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in de lidstaten te verbeteren. NIS2 is van toepassing op organisaties in kritieke sectoren, waaronder banken. Het is daarom mogelijk dat DORA én de NIS2-richtlijn gelden voor jouw organisatie. Een complicatie daarbij is dat er een overlap is in de verplichtingen van DORA en NIS2. Een belangrijk verschil is dat de regels van DORA direct van toepassing zijn in de Europese lidstaten, terwijl de NIS2-richtlijn eerst wordt omgezet in nationale wetgeving (in Nederland: de Cyberbeveiligingswet).
DORA creëert ook nieuwe verplichtingen ten opzichte van de Algemene verordening gegevensbescherming (AVG). De thema's van DORA zijn niet nieuw voor organisaties die serieus werk maken van privacy compliance. Maar de verplichtingen van DORA zijn in sommige gevallen wel concreter en strikter.
In drie stappen op weg
Ben je je bewust van de urgentie van DORA-compliance? Dan staan er drie acties op je agenda.
De eerste stap is om te bepalen op welke manier de regels van toepassing zijn op je organisatie. DORA benoemt bijvoorbeeld drie soorten financiële entiteiten waarvoor minder zware vereisten gelden. Verder maak je een overzicht van alle initiatieven en maatregelen die de organisatie al heeft genomen rond de thema's van DORA. Het gaat daarbij onder andere om acties die voortkomen uit de AVG en/of een ISO-certificering.
Vervolgens start de analyse van de acties en maatregelen die je organisatie moet implementeren om te voldoen aan de nieuwe regelgeving. Wat zijn de belangrijkste vereisten van DORA? Wat gaat er al goed? Welke processen, procedures en documenten zijn er nog nodig, uitgaande van het volwassenheidsniveau waarnaar de organisatie streeft?
De gap analyse vertaalt zich in een actieplan voor de implementatie. Het plan geeft antwoord op vragen zoals: Welke concrete activiteiten zijn er nodig om te voldoen aan DORA? Waar liggen mogelijkheden om bestaande werkwijzen aan te scherpen? Wat is echt nieuw? Hoe borgen we de uitvoering van het actieplan in de organisatie, bijvoorbeeld via werkgroepen? Hoe gaan we om met zaken zoals monitoring, audits en continuous improvement?
Uitdagingen én kansen
De voorbereiding op de komst van DORA is tijdsintensief. Voor veel organisaties is een reeks aan verregaande maatregelen nodig om het gewenste volwassenheidsniveau te bereiken. De overlap met NIS2 en/of normenkaders (zoals ISO 27001) maakt de aanpak extra gecompliceerd.
Tegelijkertijd liggen er kansen om bestaande maatregelen, zoals procedures, testsystemen en registers, door te ontwikkelen tot een werkwijze die voldoet aan de nieuwe regelgeving. Zo voorkom je onnodig dubbel werk en maak je een vliegende start met de naleving van DORA.