Digital Operational Resilience Act (DORA)
We bespreken graag de 5 primaire gebieden waarop DORA zich richt:
- ICT-risicobeheer (Hoofdstuk II DORA): Financiële entiteiten moeten een kader hebben voor ICT-risicobeheer, waarin principes en vereisten worden vastgesteld, inclusief een bedrijfscontinuïteitsbeleid en een procedure voor rampenherstel. Bij het toewijzen van middelen en capaciteiten voor de implementatie van het ICT-risicobeheerkader moeten financiële entiteiten hun ICT-gerelateerde behoeften in balans brengen met hun omvang en algehele risicoprofiel, evenals de aard, omvang en complexiteit van hun activiteiten. Het ICT-risicobeheerkader moet ten minste strategieën, beleidslijnen, procedures, ICT-protocollen en -tools omvatten die nodig zijn om alle informatieactiva en ICT-activa adequaat te beschermen tegen risico’s, waaronder schade en ongeautoriseerde toegang of gebruik.
- ICT-gerelateerd incidentbeheer, classificatie en rapportage (Hoofdstuk III DORA): Financiële entiteiten moeten een proces voor ICT-gerelateerd incidentbeheer definiëren, opzetten en implementeren om ICT-gerelateerde incidenten te detecteren, beheren en melden. Ze moeten passende procedures en processen opzetten om een consistente en geïntegreerde monitoring, afhandeling en opvolging van ICT-gerelateerde incidenten te waarborgen, zodat de oorzaken worden geïdentificeerd, gedocumenteerd en aangepakt om de herhaling van dergelijke incidenten te voorkomen.
- Testen van digitale operationele veerkracht (Hoofdstuk IV DORA): Financiële entiteiten moeten een uitgebreid programma voor het testen van digitale operationele veerkracht opzetten, onderhouden en herzien, inclusief een scala aan beoordelingen, tests, methodologieën, praktijken en tools voor het testen en geavanceerd testen van de ICT-tools, systemen en processen op basis van dreigingsgerichte penetratietesten.
- Beheer van ICT-derderisico’s (Hoofdstuk V DORA): Financiële entiteiten moeten ICT-derderisico’s beheren als een integraal onderdeel van het ICT-risico binnen hun ICT-risicobeheerkader. Dit houdt in dat, onder andere, contracten met betrekking tot de levering van ICT-diensten bepaalde essentiële contractuele bepalingen moeten bevatten. Het beheer van ICT-derderisico’s moet worden geïmplementeerd rekening houdend met de aard, omvang, complexiteit en het belang van ICT-gerelateerde afhankelijkheden.
- Informatiedelingsovereenkomsten (Hoofdstuk VI DORA): Financiële entiteiten kunnen onder bepaalde omstandigheden cyberdreiginformatie en -inlichtingen uitwisselen. De delingsovereenkomst moet in overeenstemming zijn met de GDPR, plaatsvinden binnen vertrouwde gemeenschappen van financiële entiteiten en gericht zijn op het verbeteren van de digitale operationele veerkracht van financiële entiteiten.
Naast DORA worden er Regulatoire Technische Normen gepubliceerd door de EBA, EIOPA en ESMA om ervoor te zorgen dat de vereisten zoals vastgelegd in DORA consistent worden geharmoniseerd. Financiële entiteiten die onder het toepassingsgebied van DORA vallen, moeten hiermee rekening houden bij de implementatie van DORA.
Op 27 december 2022 werd DORA gepubliceerd in het Publicatieblad van de Europese Unie. Het trad in werking op 16 januari 2023 en zal van toepassing zijn vanaf 17 januari 2025.