DORA gaat van start voor financiële sector

Juliette: "DORA is een wet gericht op het harmoniseren en eenduidig rapporteren over cyberveiligheid. Met als doel dat financiële organisaties hun IT-risico's beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen."

Vanaf 2024 is het voor financiële organisaties verplicht om te rapporteren vanuit het DORA format over de kritische ICT-leveranciers. Hierbij wordt gefocust op ICT-risico’s, ICT-incidenten, het regelmatig testen van ‘digital resilience’, het managen van risico’s wanneer er geoutsourcet wordt naar kritische derde partijen en het delen van informatie omtrent cyberdreigingen.

DORA is gebaseerd op regelgevingsinitiatieven vanuit diverse Europese toezichthouders waaronder de Europese Centrale Bank en combineert deze in één voorschrift. De meeste thema’s die in DORA voorkomen zijn voor Nederlandse financiële instellingen al bekend.  Thema’s zoals ICT-governance en ICT-risicomanagement. Wel zullen de onderwerpen vanaf heden alleen in het specifieke DORA format kunnen worden aangeleverd. Ook is het DORA format verder uitgewerkt dan in normenkaders zoals ISO27001. Met als resultaat dat de continuïteit van digitale diensten en back-up geborgd wordt. Zelfs bij operationele of technische verstoringen, cyber aanvallen en eventuele rampen. Hiervoor dienen financiële organisaties hun processen waar nodig aan te passen, zodat het aan de DORA eisen zal voldoen. Organisaties hebben tot 17 januari 2025 om aan deze DORA eisen te voldoen.

Onderstaand vind je de belangrijkste thema’s binnen DORA:

1. ICT-risico management: Financiële organisaties hebben bijvoorbeeld een programma nodig waarin de beoordeling van risico’s en het continuïteits plan beschreven staat. Maar daarbij ook een plan om direct te kunnen reageren op ICT gerelateerde incidenten en hoe daarop te acteren.
2. ICT-incident management: ICT-incidenten worden gerapporteerd aan een centrale toezichthouder (in Nederland DNB). Daarbij moet ook de klant geïnformeerd worden. Het rapporteren en melden betreft ieder incident dat impact heeft op de dienstverlening van de financiële instelling.
3. Digital resilience testing: Financiële organisaties dienen testprogramma’s in te stellen waarbij er gekeken wordt naar hacker testen, (fysieke) veiligheidstesten en kwetsbaarheidscans. Daarbij dienen deze testprogramma’s periodiek getoetst te worden.
4. Derde partijen risicomanagement: Het risicomanagement betreft ook de risico’s die derde partijen met zich meebrengen. Indien de derde partijen met kritische ICT leveranciers werken, dient er ook naar die subtier leveranciers gekeken te worden. Zo zal een financiële organisatie de gehele supply chain in kaart moeten brengen.

5. Informatie delen: Financiële organisaties dienen informatie te delen over best practices en cyberdreigingen met andere financiële instellingen.

Benieuwd hoe wij je kunnen helpen met het voldoen aan de DORA wetgeving? Neem contact op.