De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 officieel van toepassing. Deze Duitse wetgeving kan de online veerkracht van financiële instellingen versterken en een standaardregelgevingskader creëren. Ryshad Niamat, DORA supervisor bij de AFM, legt uit dat de wetgeving vroeger erg versnipperd was. Sommige financiële instellingen waren voorheen onderworpen aan strikte IT-richtlijnen, terwijl andere nauwelijks verplichtingen hadden. Met Dora is er nu een gelijk speelveld..
Door standaardregels in te voeren beschermt Dora zowel de onlineveiligheid als de veerkracht van specifieke instellingen en het bredere economische systeem. De wetgeving is onder meer van toepassing op banken, beleggingsmaatschappijen en afwikkelingsinstellingen, en legt zelfs extra behoeften op aan overeenkomsten met ICT-dienstverleners. Financiële instellingen moeten in het kader van Dora samenwerken met vijf pijlers:
- ICT-kansmanagement…. instellingen kunnen hun ICT-risicoderivaten in kaart brengen en hanteren.
- Beheer van ICT-situaties
- Derde leveranciers van ICT-diensten: Oplossingen die worden uitbesteed, moeten aan strenge eisen voldoen.
- Webability testing… Normale stresstests en beoordelingen zijn verplicht.
- Het delen van informatie • Financiële instellingen kunnen belangrijke informatie over computerdreigingen onthullen.
De toepassing van DORA
Alle financiële instellingen moeten voldoen aan de eisen van Dora en moeten stappen ondernemen om het gewenste niveau te bereiken, zegt Niamat. Sommige financiële instellingen, zoals banken en vermogensbeheerders, werden al gebruikt voor ICT-controle. Andere bedrijven, zoals verzekeringsmakelaars, die in het verleden minder met ICT-zorg te maken hadden, moesten ervoor zorgen dat zij het afgelopen jaar ICT-systemen en -processen hadden die aan de eisen van Dora voldeden. De meeste organisaties zijn nu goed op hun aanpak, maar niet iedereen is al helemaal tevreden. Het is een moeilijk proces. Niamat legt het uit.
Stichting Daisy en BKR: een unieke positie
Een interessant geval binnen DORA is Stichting BKR (BKR). Hoewel BKR zelf geen financiële entiteit is en niet onder artikel 2 , lid 2 , van de wet valt , levert BKR ICT-diensten aan financiële instellingen. Dit maakt BKR een derde partij bedrijf van Internet service onder Dora. Als gevolg daarvan is tante niet rechtstreeks van toepassing op BKR, maar wel op de financiële instellingen die BKR bedrijven gebruiken, zegt Niamat. Door gebruik te maken van een tweede partij provider van Internet providers als een financiële instelling, verplaatst u de uitvoering van uw eigen bedrijf naar de volgende partij. U loopt echter ook het risico van een verstoring met de externe provider, die een impact kan hebben op uw eigen bedrijfsvoering. Financiële instellingen moeten deze diensten dus opnemen in hun risicobeoordeling en aantonen dat zij voldoen aan de vereisten van Dora.
Tante eist van financiële instellingen dat zij een exitplan opstellen voor externe aanbieders, zodat zij fabrikanten kunnen veranderen in geval van problemen. Maar hoe zit het met functies als BKR? Dat is een bijzondere omstandigheid zegt Niamat: Als er geen optie is, kunt u een exit strategie ontwikkelen. Wat je moet doen is bewijzen dat je het risico identificeert, beoordeelt en accepteert. Financiële instellingen hadden alles geregistreerd en laten zien dat ze een bewuste risicoweging hebben gemaakt. Ze moeten begrijpen hoe ze omgaan met een scenario waarin BKR-oplossingen kort niet beschikbaar zijn..
Politie door de Injector
Samen met De Nederlandsche Bank (DNB) ziet de AFM toe op de naleving van DORA. We hebben op risico gebaseerde zorg. Dit betekent dat we onze regelgevende capaciteit gebruiken waar we de grootste gevarenverbindingen verwachten. Voor Dora zorg, kunnen we onderzoeken bij financiële instellingen. Dit zou een herziening kunnen zijn van ICT-kanscontrole, maar ook het beheer van ICT-risicoderivaten met betrekking tot derde bedrijven van ICT-oplossingen. Afhankelijk van het onderwerp kunnen we bepaalde documenten vragen. Als we een copyright vinden tijdens deze studies, houden we het niet formeel door instructies of kosten uit te geven. Het uitgangspunt is om met bedrijven te praten en het belang van eisen te benadrukken.
BKR en Daisy
BKR definieert onder DORA niet als een monetaire instelling maar als een derde partij die internetdiensten aanbiedt. In deze positie heeft BKR het voortouw genomen bij de ontwikkeling van de voorwaarden van een contract voor haar diensten, aangezien het betrekking heeft op de relatie van de financiële instelling met BKR als derde aanbieder van internetdiensten. Het is aangeboden aan particulieren en klanten van een andere BKR diensten om hen te helpen voldoen aan de eisen van de DORA regelgeving. Deze standaardmethode voor alle deelnemers en andere klanten creëert dus het vereiste “applicatie level playing field’ en zorgt voor beheersbaarheid, consistentie en efficiëntie. BKR hecht groot belang aan informatiebeveiliging en privacy. Daarom is het zeer belangrijk dat de relatie van BKR met deelnemers en andere klanten voldoet aan de DORA-wetgeving. De volgende stap die BKR op korte termijn gaat zetten is om dit te laten zien op de corporate website. Er zal bijvoorbeeld aandacht worden besteed aan de manier waarop BKR zijn informatiebeveiliging vorm geeft, de ISO27001-certificering die er een belangrijk onderdeel van is, en andere relevante informatie zal worden meegedeeld aan deelnemers en andere klanten. Daarnaast wordt de nodige documentatie geplaatst op het zakelijke portaal dat deelnemers en klanten kunnen raadplegen en gebruiken om hen te helpen hun Dora verplichtingen te bewijzen.