2min Financieel

DORA nu werkelijk van kracht: wat houdt het in?

DORA nu werkelijk van kracht: wat houdt het in?

De Digital Operational Resilience Act (DORA) is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen. DORA geldt sinds januari 2023 en is een aanvulling op bestaande wetgeving NIS, NIS2 en GDPR.

Veel ondernemingen hadden tot 17 januari 2025 de tijd om aan de regelgeving te voldoen. Voor een deel van de ondernemingen golden eerder al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving. Dit naast bepaalde ISO-certificeringen waarin het onderwerp geadresseerd werd. Voor overige bedrijven treedt de wet nu volledig in kracht.

Doelstelling van DORA

DORA stelt onder meer eisen ten aanzien van IT-risicomanagement, IT-incidenten, periodieke testen van digitale weerbaarheid en de beheersing van risico’s bij uitbesteding aan (kritieke) derden. Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van individuele organisaties. 

Zo zijn zogeheten micro-ondernemingen bijvoorbeeld uitgesloten van verschillende onderdelen van de verordening en wordt voor het tweede hoofdstuk van DORA (ICT-risicobeheer) een versimpeld kader ontwikkeld voor bepaalde vergunningstypes.

Daarnaast zijn er nog twee aanvullende effecten die bijdragen aan de weerbaarheid van financiële instellingen. Ten eerste beoogt DORA, in feite net als NIS2, de ketenveiligheid te verbeteren. De verordening bevat daartoe een kader dat van toepassing zal zijn op de meest kritieke ICT-dienstverleners voor de financiële sector. 

Parallel met NIS2

Tenslotte treft de verordening ook een regeling voor informatie-uitwisseling, zodat financiële instellingen onderling informatie en inlichtingen over cyberdreigingen kunnen uitwisselen en risico’s daarmee verder kunnen beperken. Ook dit aspect vinden we terug in NIS2.

Niets doen aan DORA is geen reële optie, dit kan tot serieuze gevolgen voor de bedrijfsvoering leiden. Daarnaast maakt DNB (De Nederlandse Bank) DORA onderdeel van haar toezicht en bestaande good practices. Sancties zullen aansluiten op bestaande toezichtsinstrumenten van de DNB. 

DORA bevat een zestal thema’s  

  1. IT-governance
  2. IT-risico management 
  3. IT-incident management 
  4. Digital resilience testing 
  5. Derde partijen risicomanagement 
  6. Informatie delen

De thema’s die DORA behandelt zullen voor veel Nederlandse instellingen niet nieuw zijn. Wel worden deze onderwerpen verder uitgewerkt dan in normenkaders zoals de ISO27001. Hierdoor moeten alle organisaties binnen de financiële sector controleren of de diepgang van hun controls dermate aantoonbaar is, dat zij voldoen aan DORA.