Digitalisering en technische innovatie scheppen volop kansen voor de financiële sector, maar brengen zeker ook risico’s met zich mee. Om die risico’s in te dammen, ontwierp de Europese Unie regelgeving die de digitale weerbaarheid van deze belangrijke sector moet vergroten: de Digital Operational Resilience Act (DORA).
De Autoriteit Financiële Markten (AFM) verwacht dat deze verordening, die de Europese Raad momenteel bespreekt, eind 2022 of begin 2023 in werking treedt. Maar wat houdt DORA precies in? Wat betekent de EU-wet voor bedrijven die actief zijn in de financiële sector? En hoe kunnen die ondernemingen zich voorbereiden op de nieuwe wetgeving? Lees verder voor de antwoorden op deze prangende vragen.
Wat is DORA?
Met DORA wil de EU een uniform wetgevend kader scheppen op het gebied van cyberveiligheid in de financiële sector. Momenteel zijn de regels op dit gebied versnipperd of beperkt. Soms gelden regels alleen op landelijk niveau of zijn er helemaal geen regels, wat leidt tot inconsistentie in regelgeving tussen verschillende EU-lidstaten. Het gevolg? Meer cyberrisico’s en onnodige kosten voor financiële instellingen, maar ook onduidelijkheid over de regels die gelden in bepaalde landen of regio’s.
3 hoofddoelen van DORA
De Europese Commissie (EC) formuleert zelf drie DORA-hoofddoelen:
- De versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren.
- Een basiskader scheppen voor financiële organisaties waar nog geen regelgeving voor is. Dit geeft die bedrijven duidelijkheid en verkleint de kans op cyberrisico’s of complianceproblemen.
- Het beter mitigeren van risico’s. Dit gebeurt door kerntaken op het gebied van cyberveiligheid grotendeels uit te besteden aan in de materie gespecialiseerde externe dienstverleners (derde partijen).
Wat betekent DORA voor financiële instellingen?
DORA stelt eisen aan financiële organisaties op het gebied van IT-risicomanagement, IT-incidenten en het periodiek testen van de digitale weerbaarheid. De regelgeving houdt daarbij rekening met de grootte, het risicoprofiel en het systeembelang van een organisatie. DORA stelt dus hogere eisen aan het securitybewustzijn en vraagt meer van de volwassenheid van financiële organisaties als het gaat om cyberrisico’s.
Jouw organisatie voorbereiden op DORA
Hoewel de wet hoogstwaarschijnlijk pas eind dit jaar of begin volgend jaar ingaat, doen financiële instellingen er wel verstandig aan om zich al voor te bereiden op de implementatie van de nieuwe Europese regels. Dat kan bijvoorbeeld door jouw huidige veiligheidslandschap kritisch in kaart te brengen en het naast de doelen en inhoud van DORA te leggen. Zo zie je snel wat de impact van de nieuwe regelgeving op jouw organisatie is. Met goede ‘gap assessments’ zie je waar eventueel de schoen wringt en waar je nog moet investeren in meer digitale volwassenheid en extra security.
Het is vooral van belang om niet te lang te wachten met de implementatie: nu is de tijd er nog om zaken zorgvuldig voor te bereiden en in gang te zetten.
Maak gebruik van wat er al is
Cyber security en IT risico management is natuurlijk niet nieuw, dus waarschijnlijk hebben veel organisaties al verschillende maatregelen om deze bedreigingen te mitigeren. Het is dus niet nodig om opnieuw het wiel uit te vinden. Om te voldoen aan DORA kan je het beste in kaart brengen welke methoden en maatregelen al geïmplementeerd zijn.
Op basis daarvan moet beoordeeld worden wat nog mist om volledig compliant aan deze regelgeving te zijn. Zoals hierboven al is aangegeven moeten dan eventuele gaps wel geadresseerd worden via een transparant implementatie plan. Openheid over zaken die nog moeten worden ingeregeld wordt ook erg gewaardeerd door Toezichthouders. Zolang maar duidelijk is waar de gaten zitten en er een duidelijk en concreet actieplan is.
INTERMEDIATE helpt
Kun je bij de voorbereiding op DORA de deskundigheid van een specialist gebruiken? Dan ben je bij INTERMEDIATE aan het juiste adres. Je kunt ons benaderen voor interim-professionals die jou graag helpen met het treffen van voorbereidingen op de nieuwe wetgeving. Interesse?
Neem dan gerust vrijblijvend contact met ons op!
Dit artikel was slechts een beknopt overzicht over DORA. Wij gaan de komende tijd echter zeker meer schrijven over deze belangrijke regelgeving. Dit artikel is geschreven door Remco Spruyt.
