Digitalisering en technische innovatie scheppen volop kansen voor de financiële sector, maar brengen zeker ook risico’s met zich mee. Om die risico’s in te dammen, ontwierp de Europese Unie regelgeving die de digitale weerbaarheid van deze belangrijke sector moet vergroten: de Digital Operational Resilience Act (DORA).

De Autoriteit Financiële Markten (AFM) verwacht dat deze verordening, die de Europese Raad momenteel bespreekt, eind 2022 of begin 2023 in werking treedt. Maar wat houdt DORA precies in? Wat betekent de EU-wet voor bedrijven die actief zijn in de financiële sector? En hoe kunnen die ondernemingen zich voorbereiden op de nieuwe wetgeving? Lees verder voor de antwoorden op deze prangende vragen.

Wat is DORA?

Met DORA wil de EU een uniform wetgevend kader scheppen op het gebied van cyberveiligheid in de financiële sector. Momenteel zijn de regels op dit gebied versnipperd of beperkt. Soms gelden regels alleen op landelijk niveau of zijn er helemaal geen regels, wat leidt tot inconsistentie in regelgeving tussen verschillende EU-lidstaten. Het gevolg? Meer cyberrisico’s en onnodige kosten voor financiële instellingen, maar ook onduidelijkheid over de regels die gelden in bepaalde landen of regio’s.

De Europese Commissie (EC) formuleert zelf drie DORA-hoofddoelen:

  • De versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren.
  • Een basiskader scheppen voor financiële organisaties waar nog geen regelgeving voor is. Dit geeft die bedrijven duidelijkheid en verkleint de kans op cyberrisico’s of complianceproblemen.
  • Het beter mitigeren van risico’s. Dit gebeurt door kerntaken op het gebied van cyberveiligheid grotendeels uit te besteden aan in de materie gespecialiseerde externe dienstverleners (derde partijen).

Wat betekent DORA voor financiële instellingen?

DORA stelt eisen aan financiële organisaties op het gebied van IT-risicomanagement, IT-incidenten en het periodiek testen van de digitale weerbaarheid. De regelgeving houdt daarbij rekening met de grootte, het risicoprofiel en het systeembelang van een organisatie. DORA stelt dus hogere eisen aan het securitybewustzijn en vraagt meer van de volwassenheid van financiële organisaties als het gaat om cyberrisico’s.

Uw organisatie voorbereiden op DORA

Hoewel de wet hoogstwaarschijnlijk pas eind dit jaar of begin volgend jaar ingaat, doen financiële instellingen er wel verstandig aan om zich al voor te bereiden op de implementatie van de nieuwe Europese regels. Dat kan bijvoorbeeld door uw huidige veiligheidslandschap kritisch in kaart te brengen en het naast de doelen en inhoud van DORA te leggen. Zo ziet u snel wat de impact van de nieuwe regelgeving op uw organisatie is. Met goede ‘gap assessments’ ziet u waar eventueel de schoen wringt en waar u nog moet investeren in meer digitale volwassenheid en extra security. Het is vooral van belang om niet te lang te wachten met de implementatie: nu is de tijd er nog om zaken zorgvuldig voor te bereiden en in gang te zetten.

INTERMEDIATE helpt

Kunt u bij de voorbereiding op DORA de deskundigheid van een specialist gebruiken? Dan bent u bij INTERMEDIATE aan het juiste adres. U kunt ons benaderen voor interim-professionals die u graag helpen met het treffen van voorbereidingen op de nieuwe wetgeving. Interesse?

Neem dan gerust vrijblijvend contact met ons op!

Dit artikel was slechts een beknopt overzicht over DORA. Wij gaan de komende tijd echter zeker meer schrijven over deze belangrijke regelgeving. Dit artikel is geschreven door Remco Spruyt.