Financiële instellingen moeten door regelgeving niet alleen digitaler, maar ook weerbaarder worden
Dit is DORA
De EU Digital Operational Resilience Act, kortweg DORA (Regulation on Digital Operational Resilience in the Financial Sector), is al op 16 januari van dit jaar in werking getreden.
Het doel van de verordening is om de Europese financiële sector veerkrachtiger maken. De nadruk ligt op uniforme eisen voor de beveiliging van netwerk- en informatiesystemen om zo de risico’s (zoals IT-storingen en cyberaanvallen) te beperken bij het gebruik van ICT.
DORA is onderdeel van een pakket met maatregelen voor de digitalisering van de financiële sector dat al op 24 september 2020 is gepresenteerd. Hiermee wil de Europese Commissie het concurrentievermogen en innovatie versterken.
Door deze Europese aanpak moeten de ontwikkeling en het gebruik van nieuwe technologieën en producten worden bevorderd. Ook moet de financiële stabiliteit en de bescherming van consumenten en beleggers worden gewaarborgd. Met de nieuwe verordening wil de toezichthoudende autoriteit niet alleen de IT-beveiliging en cyberdefensie in de Europese financiële sector verbeteren, maar ook de eigen toezichtscapaciteiten die daaraan zijn gerelateerd.
European Supervisory Authorities (ESAs) = e.g. the European Banking Authority (EBA), the European Securities and Markets Authority (ESMA) and the European Insurance and Occupational Pensions Authority (EIOPA)
Achtergrond van de nieuwe verordening
Innovatieve technologie brengt nieuwe risico’s onder de aandacht van het toezicht.
Digitalisering is een integraal onderdeel van het bankwezen geworden, en niet alleen sinds Corona.
- Het gebruik van digitale middelen is voor de meeste klanten al vanzelfsprekend – de tijd ligt al ver achter ons dat alleen al het digitaal openen van een rekening een sensationele innovatie was.
- Aanbieders van financiële diensten zijn niet meer concurrerend (of zullen dat al heel snel niet meer zijn) als ze geen gebruik van digitale efficiëntieverbeteringen. Bijvoorbeeld door nieuwe technologieën zoals automatisering (referentie RPA), clouddiensten of BigData en DataMining.
- Digitalisering betekent vaak dat het dagelijks werk veel flexibeler kan worden ingericht. Dit speelt ook een belangrijke rol bij het aantrekken en houden van werknemers.
Met de ontwikkeling en het gebruik van innovatieve technologieën ontstaan echter ook nieuwe risico’s.
Focus van bankentoezichthouders: IT-veiligheid
Door toenemende digitalisering en gebruik van IT-diensten worden financiële bedrijven steeds afhankelijker van IT. Het maakt ze tegelijkertijd extra kwetsbaar voor storingen en dreigingen. De gevolgen kunnen groot zijn: de informatiebeveiliging komt in het gedrang, gegevens gaan verloren, of bedrijfsactiviteiten worden beperkt.
Digitale operationele weerbaarheid van de financiële sector staat hierdoor steeds meer centraal bij bankentoezichthouders. Om consumenten goed te beschermen, maar ook de financiële instellingen zelf en de organisaties waar ze mee samenwerken.
De beheersing van cyberrisico’s had al de aandacht van de Nederlandse Bank (DNB), waarbij DNB ziet dat cyberdreigingen toenemen. Ook in 2023 blijft ‘risico’s van cyberaanvallen met ernstige gevolgen’ een van de belangrijke risicogebieden waar DNB zich op focust.
Met de nieuwe regels wil de toezichthouder nu zorgen voor meer ‘digitale operationele veerkracht’ in de financiële sector.
Bedrijven in het toepassingsgebied
Naast financiële bedrijven krijgen ook derde partijen zoals ICT-aanbieders met DORA te maken.
In aanvulling op de bestaande regelgeving wil de toezichthouder er met het DORA voor zorgen dat nieuwe technologieën en producten binnen het toepassingsgebied vallen van de regelgeving voor de financiële markten. Én dat ze getoetst kunnen worden aan de regelgeving voor het beheer van operationele risico’s van bedrijven die in de EU actief zijn.
DORA is daarmee een aanvulling op de geldende eisen en specificaties voor banken, verzekeringsmaatschappijen en betalingsdienstaanbieders. De noodzakelijke beveiligingsmaatregelen voor preventie en bescherming tegen de gevolgen van ICT-storingen en cyberincidenten zijn gespecificeerd en aangevuld.
Ook wordt het aantal bedrijven dat in het toepassingsgebied valt, aanzienlijk uitgebreid. Het in lid 2 artikel 1 van de verordening omschreven toepassingsgebied omvat onder andere namelijk ook aanbieders van cryptodiensten, handelsplatforms, ratingbureaus, datadiensten en verzekeringstussenpersonen. Door de afhankelijkheid van de financiële sector van derde partijen (vierde partijen, …) en hun IT-beveiliging wordt met de vermelding van ‘derde ICT-dienstverleners’ ook het toepassingsgebied van het toezicht uitgebreid tot ICT derde partijen die actief zijn in de financiële sector.
Derde ICT-dienstverleners die actief zijn in de financiële sector
Alle bedrijven die IT-diensten verlenen aan financiële bedrijven vallen onder DORA. De definitie van deze diensten is: “Digitale diensten en datadiensten die op permanente basis via ICT-systemen aan een of meer interne of externe gebruikers worden geleverd, met inbegrip van hardware-as-a-service en hardwarediensten, waaronder technische ondersteuning door de hardwareleverancier door middel van software- of firmware-upgrades, met uitzondering van traditionele analoge telefoondiensten“.
Dit betekent dat bedrijven die digitale diensten en datadiensten aanbieden (zoals aanbieders van clouddiensten, software, datadiensten en datacenters voor financiële bedrijven) straks rechtstreeks worden gereguleerd vanuit de toezichthouder. Door het evenredigheidsbeginsel gelden minder eisen voor kleinere bedrijven (zogenaamde micro-bedrijven met minder dan 10 werknemers en een jaaromzet of balanstotaal van minder dan 2 miljoen euro).
De nieuwe verordening, die uiterlijk op 17 januari 2025 ten uitvoer moet zijn gelegd, heeft dus niet alleen gevolgen voor financiële bedrijven, maar ook voor bedrijven die tot nu niet rechtstreeks onder de regelgeving vielen. Voor potentiële bedrijven moet eerst worden nagegaan of en in welke mate ze daadwerkelijk worden getroffen door de wettelijke regels. Ook moet worden nagegaan of er uitzonderingen zijn en in hoeverre bepaalde eisen van toepassing zijn vanwege de omvang en de precieze activiteit van het bedrijf. Ook kan gekeken worden naar uitzonderingen door bijvoorbeeld de omvang en de precieze activiteit van het bedrijf.
Operationele uitvoering van de eisen
Bij de operationele uitvoering in de betrokken bedrijven zijn verschillende eenheden betrokken.
De uit te voeren eisen hebben betrekking op verschillende vakgebieden en vragen dus om de betrokkenheid van verschillende afdelingen. Het gaat hier vooral om IT, informatiebeveiligingsbeheer, bedrijfscontinuïteitsbeheer en (centraal) uit-/aanbestedingsbeleid. De nieuwe regelgeving vereist implementatie op vier hoofdonderwerpen:
- ICT-risicobeheer met eisen voor IT-beveiliging, ISM en BCM (hoofdstuk II);
- Eisen voor incidentenbeheer en rapportage van ICT-gerelateerde incidenten (hoofdstuk III);
- Eisen voor het testen van digitale operationele veerkracht (hoofdstuk IV);
- Beheer van risico’s van derden in de hele uitbestedingsketen (hoofdstuk V). In de hierop volgende hoofdstukken worden niet-verplichte of toezichteisen gedefinieerd.
Overview of the 5 focus points of the Digital Operational Resilience Act DORA
Bedrijven en instellingen hebben tot januari 2025 de tijd om de verordening uit te voeren
De betrokken bedrijven hebben nu een periode van maximaal twee jaar tot 17 januari 2025 om zich voor te bereiden. Vanaf deze datum wordt de verordening toegepast; de uitvoering wordt dan door de nationale toezichthoudende autoriteiten gecontroleerd of de naleving wordt afgedwongen. Delen van het DORA-kader zijn nu nog in voorbereiding:
- Op EU-niveau gedelegeerde rechtshandelingen
- Richtlijnen, technische reguleringsnormen (RTS) en technische uitvoeringsnormen (ITS) moeten nog door de toezichthoudende autoriteiten van de EU worden ontwikkeld.
Dan nog moeten bedrijven die onder het toepassingsgebied vallen, zo snel mogelijk beginnen met hun implementatieprojecten en gebruik maken van de implementatieperiode van 24 maanden.
Dit geldt ook voor al gereguleerde bedrijven zoals banken, verzekeringsmaatschappijen en betalingsdienstaanbieders. Ook al zijn veel van de vereisten van DORA in overeenstemming met de bestaande richtlijnen en worden zij dus geacht om dit allemaal afgedekt te hebben. Want met een hoge mate van kennis en ervaring in de uitvoering van de eisen moeten ook deze bedrijven aan de slag door uitbreidingen en verduidelijking van de nieuwe regels. Bovendien moeten ze ervoor zorgen dat ook hun derde partij ICT-leveranciers DORA goed implementeren of dat ze, als nodig, vóór de uiterste datum afscheid nemen van derde partijen.
De implementatie begint met een analyse van het toepassingsgebied om het toepassingsgebied voor het betrokken bedrijf te bepalen. Door eerst de te implementeren vereisten in de bestaande organisatie te vinden, wordt duidelijk welke afdelingen verantwoordelijk zijn voor de integratie. Zo kan een overkoepelend implementatieproject worden opgesteld, op basis van een gap-analyse. Een auditreadiness check wordt aanbevolen om verrassingen te voorkomen.
DORA-implementatie in 6 stappen
Onze experts beantwoorden graag al je vragen rondom DORA.
