Article De Digital Operational Resilience Act (DORA) in het kort
De Digital Operational Resilience Act
(DORA) in het kort
Door Insight Editor / 28 Feb 2024 / Onderwerpen: Cybersecurity
Door Insight Editor / 28 Feb 2024 / Onderwerpen: Cybersecurity
De Digital Operational Resilience Act (DORA) is een EU-verordening die de financiële sector in de EU verplicht om een uitgebreid raamwerk voor risicobeheer op het gebied van informatie- en communicatietechnologie (ICT) te implementeren. Het doel van deze verordening is om de IT-regelgeving voor de financiële sector te harmoniseren en de digitale weerbaarheid verder te versterken.
DORA is een aanvulling op de bestaande wetgeving, namelijk NIS2 en GDPR. DORA is samen met de NIS2-richtlijn gepubliceerd, die tot doel heeft de weerbaarheid van de EU-infrastructuur te verbeteren. Hoewel beide regelingen van toepassing zijn op financiële instellingen, heeft DORA voorrang omdat het specifieker is dan NIS2.
DORA is van toepassing op alle financiële instellingen die actief zijn binnen de EU, waaronder banken, verzekeringsmaatschappijen, betalingsdienstaanbieders en marktinfrastructuur-aanbieders. De regelgeving heeft tot doel ervoor te zorgen dat alle financiële instellingen adequate maatregelen hebben genomen om operationele risico's te voorkomen en te beperken die van invloed kunnen zijn op hun klanten, het financiële systeem en de bredere economie.
DORA is belangrijk omdat het streeft naar het waarborgen van de operationele veerkracht van de financiële sector van de EU. De regelgeving vereist dat financiële instellingen maatregelen implementeren om operationele risico's te voorkomen en te beperken, zoals cyberaanvallen en IT-storingen. DORA zal ook een kader vaststellen voor gecoördineerde incidentrespons en informatie-uitwisseling tussen financiële instellingen en toezichthoudende autoriteiten. Door een gemeenschappelijk kader voor operationele veerkracht vast te stellen, heeft DORA tot doel ervoor te zorgen dat de financiële sector effectief kan blijven opereren en de bredere economie kan ondersteunen, zelfs in het geval van operationele verstoringen.
Op 17 januari 2025 moeten financiële entiteiten compliant zijn met DORA en de technische reguleringsnormen die nog ontwikkeld worden door de Europese toezichthoudende autoriteiten (ETA’s). Hoewel de inwerkingtreding dus nog even op zich laat wachten, is het raadzaam om nu al met DORA aan de slag te gaan.
DORA is gebaseerd op vijf pijlers, namelijk:
Bedrijven kunnen nu al beginnen met het analyseren van hun huidige situatie ten opzichte van de vereisten van DORA en van daaruit acties opzetten. Er zijn verschillende best practices en richtlijnen beschikbaar om te voldoen aan de vereisten op het gebied van riskmanagement, informatiebeveiliging en uitbesteding. De implementatie van DORA zorgt voor uniformiteit en aanscherping van deze vereisten.
Organisaties kunnen beginnen door te zorgen dat ze voldoen aan deze bestaande vereisten. Dit geeft inzicht in de bestaande maatregelen en waar er nog geen maatregelen zijn gedefinieerd. Dit inzicht vormt de basis voor een nulmeting, waarna aanvullende acties kunnen worden gedefinieerd. Deze aanpak heeft als voordeel dat het gebaseerd is op de huidige risicobeheersing, dat bestaande resultaten worden meegenomen en dat de organisatie kan aantonen of en in welke mate ze voldoen aan de verschillende vereisten.
Ook Insight kan u helpen met het in kaart brengen van de juiste vereisten en deze succesvol te implementeren. Onze aanpak onderscheidt zich door een gestructureerde benadering die u kan helpen de juiste stappen te doorlopen in het proces.
Neem voor meer informatie contact op met onze specialisten.