Hoe kan je je voorbereiden op de Digital Operational Resilience Act (DORA)?
door Gorik Van den Bergh
Vanaf 17 januari 2025 treedt de Europese Digital Operational Resilience Act (DORA) in werking voor de financiële sector. Maar wat houdt DORA precies in en wat betekent dit voor jouw organisatie? En hoe verhoudt DORA zich tot de NIS2-wetgeving?
Wat is DORA?
DORA, of de Digital Operational Resilience Act, is een Europese verordening die de digitale weerbaarheid van financiële organisaties wil versterken. Het doel is om de continuïteit van kritieke processen binnen deze organisaties te waarborgen door IT-risico’s beter te beheersen en weerbaarder te worden tegen cyberdreigingen.
DORA bestaat uit drie onderdelen: een verordening (level 1), technische standaarden (level 2) en richtsnoeren (level 3). De ontwikkeling van technische standaarden en richtsnoeren is opgedeeld in twee fasen. De eerste fase werd in januari 2024 ter goedkeuring ingediend bij de Europese Commissie. De tweede fase was open voor publieke consultatie tot 4 maart 2024 en bevatte onder andere standaarden voor de rapportage van ernstige ICT-gerelateerde incidenten en threat led penetration testing (TLPT). Deze fase moet voor 17 juli 2024 worden ingediend bij de Europese Commissie.
Voor wie is DORA?
DORA is van toepassing op een breed scala aan financiële instellingen, waaronder:
Banken
Beleggingsondernemingen
Pensioenfondsen
Elektronische geldinstellingen
Verzekerings- en herverzekeringsondernemingen
Betaalinstellingen
Crowdfunding-dienstverleners
DORA is eveneens van toepassing op de ICT-gerelateerde dienstverleners van deze financiële instellingen. Het volledige toepassingsgebied van DORA kan je hier raadplegen.
Kernpijlers van DORA
DORA richt zich op vijf kerngebieden om de cyberbeveiliging te verbeteren:
ICT-risicobeheer
Organisaties moeten een uitgebreid ICT-risicobeheerkader implementeren met gedocumenteerde strategieën en procedures.Beheer, classificatie en rapportage van ICT-incidenten
Een efficiënt incidentresponsplan is vereist om snel te kunnen reageren op cybersecurity-incidenten.Testen van digitale operationele veerkracht
Regelmatige tests zijn verplicht om de effectiviteit van beveiligingsmaatregelen te evalueren.Beheer van ICT-risico’s van derden
Financiële entiteiten moeten een strategie ontwikkelen voor het beheren van ICT-risico’s bij gebruik van diensten van derden.Informatie- en intelligentiedeling
DORA bevordert samenwerking en uitwisseling van informatie tussen financiële instellingen, IT-serviceproviders en toezichthouders.
Relatie tussen DORA en NIS2
Naast DORA is ook de NIS2-richtlijn (Netwerk- en Informatiebeveiliging 2) van kracht, die de weerbaarheid van de EU-infrastructuur wil verbeteren. Sommige financiële instellingen, zoals banken, vallen onder beide wetgevingen. In dat geval heeft DORA als ‘lex specialis’ voorrang wanneer het strengere eisen oplegt dan de NIS2-wetgeving.
Sancties
Bij overtreding van DORA kunnen financiële sancties worden opgelegd. De details hiervan worden bepaald door de nationale autoriteiten. Onder NIS2 kunnen boetes oplopen tot 2% van de wereldwijde omzet. Zowel onder NIS2 als DORA kunnen leden van het management strafrechtelijk worden vervolgd bij nalatigheid. Meer informatie over NIS2 vind je ook hier.
Welke stappen kan je al nemen?
Ondanks dat sommige informatie pas later in 2024 beschikbaar komt, is het voor financiële instellingen belangrijk om al zoveel mogelijk stappen te zetten om zich voor te bereiden.
Stap 1: Inzicht in processen en systemen
Breng in kaart welke bedrijfsdiensten afhankelijk zijn van welke processen en systemen, en welke gegevens deze verwerken.
Stap 2: Breng de ICT-risico’s in kaart
Implementeer een ICT Risk Management Framework of evalueer uw bestaande raamwerk om te voldoen aan DORA.
Stap 3: Voer een ‘Gap Assessment’ uit
Controleer of je huidig raamwerk voldoet aan de nieuwe DORA-eisen en identificeer eventuele hiaten.
Stap 4: Beheer risico’s van derde partijen
Breng al je leveranciers en derde partijen in kaart en zorg voor een strategie om ICT-risico’s van derden te beheren.
Stap 5: Zorg voor een matuur Incident Management Proces
Zorg voor een volwassen incidentmanagementproces dat tijdige respons en rapportage aan toezichthouders mogelijk maakt.
Stap 6: Zorg voor een solide testprogramma
Implementeer een testprogramma voor digitale operationele weerbaarheid dat alle kritieke IT-systemen omvat en regelmatige tests uitvoert.
Door deze stappen te volgen, kan je organisatie zich voorbereiden op de naleving van de DORA-regelgeving en de digitale weerbaarheid verbeteren. Klaar om aan de slag te gaan? Neem vandaag nog contact met ons op voor meer informatie en ondersteuning bij de implementatie van DORA in je organisatie.
Vandelanotte kan je helpen bepalen in welke mate de DORA-wetgeving van toepassing is op je organisatie;
We kunnen je ondersteunen met software voor de digitalisering en automatisering van IT-risicobeheer.
We kunnen een GAP-analyse uitvoeren om het huidige niveau van cybersecurity en weerbaarheid te beoordelen;
We kunnen je bijstaan bij het implementeren van de nodige beleidslijnen, procedures en veiligheidscontroles om conform te zijn met de DORA-wetgeving.
Om dit formulier te kunnen versturen moet u het gebruik van technische cookies aanvaarden. Dat kan u hier aanpassen.
Deze cookies worden gebruikt om onderscheid te maken tussen mensen en bots. Bepaalde gegevens, zoals uw IP adres of taal, kunnen hierbij doorgestuurd worden naar Google. Meer info vindt u in onze cookieverklaring.
Gorik Van den Bergh
Certified Information Systems Auditor Gorik.VandenBergh@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Nieuws en inzichten
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.
