Voorbereiden op DORA-compliance: wat financiële instellingen moeten weten
DORA-compliance is officieel van toepassing! Vanaf 17 januari 2025 zijn financiële instellingen verplicht te voldoen aan de eisen van de Digital Operational Resilience Act (DORA). Met nationale toezichthouders zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) die hun controle aanscherpen, is dit hét moment om prioriteit te geven aan de naleving van DORA. Hieronder geven we een overzicht van wat u kunt verwachten en hoe u voorop kunt blijven lopen.
Wat verandert er in 2025?
Vanaf dit jaar zullen toezichthouders actief controleren hoe financiële instellingen voldoen aan DORA. Dit omvat onder meer het indienen van kritieke informatie bij de Europese Toezichthoudende Autoriteiten (EBA, EIOPA, en ESMA) en het waarborgen van operationele veerkracht binnen de financiële sector.
Voor meer informatie kunt u de officiële tekst van de DORA-regelgeving raadplegen: DORA Regulation (EU) 2022/2554.
Belangrijke prioriteiten voor 2025
1. Indienen van het informatieoverzicht
Een van de eerste belangrijke mijlpalen voor DORA-compliance is het opstellen en indienen van een informatieregister, ook wel “Register of Information”.
- Deadline: De AFM en DNB moeten uiterlijk 30 april 2025 de eerste informatieoverzichten indienen bij de Europese Toezichthoudende Autoriteiten (ESA’s).
- Acties: Organisaties die onder DORA vallen, kunnen kort na de officiële ingangsdatum van DORA een informatieverzoek van de AFM verwachten. Het is essentieel om nu al voorbereidingen te treffen om aan deze deadline te voldoen.
- Jaarlijkse updates: Na de initiële indiening wordt van instellingen verwacht dat zij jaarlijks een geüpdatet overzicht indienen. De AFM en DNB zullen deze informatie voorafgaand aan de indiening controleren.
Dit overzicht stelt de ESA’s in staat om aanbieders van ICT-diensten te identificeren, die vervolgens onder direct toezicht van de ESA’s komen te staan.
2. Melden van ICT-gerelateerde incidenten
Het tijdig melden van grote ICT-incidenten is een andere belangrijke vereiste onder DORA.
- Meldingstermijn:
- Meld grote incidenten binnen 4 uur na classificatie als “major“.”
- Dien een tussentijds rapport in binnen 72 uur.
- Lever een eindrapport aan binnen 1 maand.
- Proactieve communicatie: Naast verplichte meldingen van grote incidenten wordt ook het vrijwillig melden van cyberdreigingen aangemoedigd. Dit draagt bij aan een beter inzicht in de sectorbrede risico’s.
De AFM zal meldingen beoordelen op volledigheid en kan aanvullende informatie opvragen om de volledige impact te begrijpen.
3. Threat-led penetration testing (TLPT)
Voor bepaalde instellingen wordt dreigingsgerichte penetratietesting (Threat-Led Penetration Testing, TLPT) een verplicht onderdeel van DORA-compliance.
- Selectie: Instellingen die hiervoor in aanmerking komen, ontvangen een schriftelijke kennisgeving van de AFM.
- Voorbereiding: De AFM biedt begeleiding gedurende het hele proces, van planning tot uitvoering.
- Certificering: Succesvolle afronding van de test leidt tot een certificaat dat compliance aantoont.
Wat kunt u nu doen?
- Begin direct: Begin met het voorbereiden van uw “Register of Information” en bekijk uw procedures voor het melden van incidenten.
- Werk samen: Zorg dat uw ICT- en compliance-teams volledig op de hoogte zijn van de eisen van DORA.
- Blijf geïnformeerd: Volg updates van de AFM en wees voorbereid op verzoeken of meldingen.
Waarom DORA belangrijk is
DORA draait niet alleen om naleving van regelgeving, maar ook om het versterken van de digitale operationele veerkracht van de financiële sector. Door tijdig actie te ondernemen, kunt u risico’s beperken, aantonen dat uw organisatie aan de eisen voldoet, en vertrouwen opbouwen bij stakeholders.
Laten we deze uitdaging zien als een kans om de operationele veerkracht en cybersecurity in de sector te verbeteren. Is uw organisatie klaar voor DORA? Deel uw gedachten met ons!
Neem contact met ons op via: info@compliancechamps.com
Lees hier meer artikelen.
