De regeldruk voor financiële instellingen neemt toe. Belangrijke nieuwe wetgeving is de Digital Operational Resilience Act (DORA). Vanaf 17 januari 2025 moet (bijna) de hele financiële sector voldoen aan deze nieuwe wetgeving, gericht op het versterken van hun cyber- en operationele weerbaarheid. Wat is DORA precies, en hoe kan jouw organisatie zich optimaal voorbereiden op de veranderende eisen?
Wat is de Digital Operational Resilience Act (DORA)?
De Digital Operational Resilience Act (DORA) bestaat uit een Europese verordening en een richtlijn. Doel is het versterken van de cyber- en operationele weerbaarheid van de financiële sector.
DORA stelt eisen aan financiële instellingen met betrekking tot het beheer van securityrisico's, het rapporteren van incidenten en het testen en verbeteren van de veerkracht van kritieke IT-systemen. De focus ligt op het minimaliseren van de impact van cyberaanvallen en andere verstoringen.
Waarom is DORA geïntroduceerd?
Financiële instellingen beheren enorme hoeveelheden geld en verwerken op grote schaal gevoelige persoonsgegevens. Mede daardoor zijn ze een aantrekkelijk doelwit voor cybercriminelen. Die bestoken financiële dienstverleners bijvoorbeeld met ransomwareaanvallen of proberen hun klanten op te lichten (bankfraude). Die cyberdreiging ontwikkelt zich sneller dan de weerbaarheid. Daardoor is er sprake van een scheefgroei.
Daar staat een veelheid aan regels en frameworks tegenover, die moeten zorgen voor meer cyberweerbaarheid. DORA biedt een geharmoniseerd kader om te zorgen dat financiële instellingen en hun kritieke dienstverleners de integriteit, beschikbaarheid en veiligheid van hun systemen kunnen garanderen, waardoor de algehele stabiliteit van het financiële systeem wordt versterkt.
Vanaf wanneer geldt DORA?
DORA is sinds januari 2023 van kracht. De verordening heeft een rechtstreekse werking. De richtlijn moet worden geïmplementeerd in nationale wetgeving. In Nederland zal dit leiden tot wijzigingen in de Wet op het financieel toezicht (Wft).
Om organisaties in de gelegenheid te stellen zich voor te bereiden op DORA, geldt er een overgangsperiode van 2 jaar. Vanaf januari 2025 moeten de regels geïmplementeerd zijn in iedere organisatie die onder DORA valt.
Voor welke organisaties geldt DORA?
DORA geldt voor vrijwel alle financiële instellingen, van banken en beleggingsondernemingen tot pensioenfondsen, verzekeraars en aanbieders van crypto-activa. Maar ook kritieke IT-dienstverleners van deze financiële instellingen vallen onder DORA.
Bepaalde typen ondernemingen zoals accountantsorganisaties vallen niet onder DORA. Ook gelden onderdelen van de verordening niet voor micro- en kleine ondernemingen.
Welke eisen stelt DORA?
In DORA worden de eisen onderverdeeld in 5 ‘pijlers’:
1. IT-risicobeheer: uitgebreid IT-risicobeheer is onder DORA verplicht, inclusief het ontwikkelen van raamwerken om risico's te identificeren en te mitigeren.
2. Beheer van IT-gerelateerde incidenten: instellingen moeten incidenten en cyberdreigingen systematisch beheren en rapporteren.
3. Testen van digitale weerbaarheid: DORA kent een verplichting tot regelmatig testen van de digitale weerbaarheid via onder andere penetratietesten.
4. Beheer van IT-risico’s bij derde aanbieders: de verordening vereist strikte controle op IT-diensten van derden, met aandacht voor risicobeheer en contractuele voorwaarden.
5. Informatie-uitwisseling over cyberdreigingen: DORA moedigt informatie-uitwisseling aan over cyberdreigingen en kwetsbaarheden om de collectieve weerbaarheid te versterken.
Niet alle eisen in DORA zijn volledig nieuw voor financiële instellingen. Veel van de vereisten bouwen voort op bestaande regelgeving en praktijken op het gebied van risicobeheer, cybersecurity en IT-governance.
Hoe verhoudt DORA zich tot de NIS2?
NIS2 is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ die in Nederland is opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn legt minimale beveiligingsmaatregelen vast voor organisaties en specificeert welke entiteiten eraan moeten voldoen.
Ook financiële instellingen vallen onder de NIS2. De ‘zorgplicht’ stelt dat ze maatregelen moeten nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. NIS2 heeft daarmee een vergelijkbaar doel als DORA, namelijk de cyberweerbaarheid vergroten. Waar DORA specifieker is, krijgt deze wetgeving echter voorrang.
Hoe ziet het toezicht op DORA eruit?
In Nederland zullen De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) toezicht houden op de naleving van DORA. DNB houdt toezicht op banken, verzekeraars en pensioenfondsen. AFM richt zich op het gedrag op de financiële markten en dus op beleggingsondernemingen en marktinfrastructuren zoals betalingssystemen, handelsplatforms en clearinghuizen.
Wat zijn de consequenties als organisaties DORA niet naleven?
Op 17 januari 2025 moeten financiële organisaties volledig voldoen aan DORA. Vanaf die dag kan niet-naleving leiden tot aanzienlijke financiële sancties. De boetes kunnen oplopen tot 1% van de wereldwijde dagelijkse omzet.
De sanctie kan bijvoorbeeld ook bestaan uit het opschorten van delen van de dienstverlening tot zelfs het intrekken van vergunningen. Bovendien kan niet-naleving leiden tot reputatieschade, verlies van klantvertrouwen en potentiële bedrijfsonderbrekingen.
Hoe kunnen financiële instellingen zich voorbereiden op DORA?
Ondernemingen kunnen nu al aan de slag met de voorbereidingen op DORA, te beginnen met een gap-analyse en het opzetten van daaruit volgende activiteiten. Kijk of er voor naleving van DORA verbeteringen nodig zijn in de huidige IT-risicobeheerprocessen en -systemen.
De volgende stap is het ontwikkelen van een gedetailleerd implementatieplan. Hierin staan de acties die nodig zijn voor het opzetten of versterken van het IT-risicobeheerkader, incidentenbeheerprocessen en digitale weerbaarheidstesten. Het verzorgen van securitytrainingen voor het personeel en het versterken van samenwerking met IT-dienstverleners zijn ook cruciale stappen. Ten slotte is het belangrijk om regelmatige audits en reviews in te plannen, om de naleving te verzekeren en voortdurend te verbeteren.
Begin vandaag
“Met de naderende deadline is het cruciaal dat financiële instellingen nu actie ondernemen om hun cyber- en operationele weerbaarheid te versterken”, zegt Angela Bouckaert, Vice President Financial Services & Insurance Industry bij KPN. “Dit is niet alleen een kwestie van compliance, maar ook een strategische noodzaak om de veiligheid en betrouwbaarheid van je dienstverlening te waarborgen. Wacht niet tot het laatste moment, maar begin vandaag nog met de voorbereidingen.”
“Bij KPN begrijpen we de complexiteit van de vereisten die DORA met zich meebrengt”, vervolgt Angela. “Onze expertise in het implementeren van geavanceerde security-oplossingen stelt ons in staat om financiële instellingen effectief te ondersteunen bij het voldoen aan deze nieuwe regelgeving. Van risicobeheer tot het trainen van medewerkers in security-awareness, KPN helpt je bij de naleving.”
Meer weten over hoe KPN financiële instanties ondersteunt? Download ons e-book ‘De financiële sector in Nederland: voorop in de digitale transformatie’.
De financiële sector in Nederland: voorop in de digitale transformatie
Zo leggen we samen een stevige basis voor innovatie
Download
