Hoewel DORA in grote mate voortbouwt op reeds bestaande hervormingen (GDPR, NIS2-richtlijn en MiFID II, bijvoorbeeld), is de nieuwigheid van deze verordening dat het de eerste verordening is die de ICT-risicobeheerstandaarden in Europa harmoniseert. DORA werd aangenomen op 16 januari 2023 en zal op 17 januari 2025 van toepassing zijn op alle lidstaten, waardoor betrokken entiteiten twee jaar de tijd hebben om wijzigingen aan te brengen om aan de verordening te voldoen. Wat kunnen financiële instellingen in de tussentijd doen om zich voor te bereiden op DORA?
Op welke bedrijven heeft de DORA betrekking?
DORA has een vrij grote reikwijdte. Het omvat alle financiële instellingen in de Europese Unie (EU). Daarmee bedoelen we alle traditionele financiële instellingen, zoals banken, verzekeringsmaatschappijen, beleggingsondernemingen en kredietinstellingen.Kort gezegd zal de verordening van invloed zijn op alle ICT-leveranciers van financiële diensten, financiële technologiebedrijven en bedrijven die zijn aangewezen als kritieke leveranciers en die actief zijn in Europa, ongeacht of deze leveranciers in Europa of elders in de wereld zijn gevestigd.
Hoe zit het met "operationele veerkracht"?
Voordat we dieper ingaan op wat DORA is, moeten we een van de termen waar de verordening zich op richt uitleggen. De term "Operationele veerkracht" houdt in dat ongeacht de kritieke situatie waarin een bedrijf zich bevindt, het informatiesysteem in staat moet zijn om de "schok" te weerstaan en door te gaan met zijn activiteiten. IT-veerkracht is het vermogen van een organisatie om de continuïteit van haar informatiesysteem te waarborgen, zelfs in het geval van hardwarestoringen, overbelasting, hacking of andere incidenten.Wat is DORA?
De regelgeving moet ervoor zorgen dat bedrijven financieel weerbaar zijn en kunnen blijven functioneren, zelfs als er zich incidenten voordoen.t à leur permettre de continuer à fonctionner, même en cas d'incident. DORA heeft vijf hoofdpijlers:
-
ICT-risicobeheer: Dit houdt in dat er een alomvattend kader voor het beheer van ICT-risico's moet worden vastgesteld, met essentiële principes en vereisten die zijn afgestemd op de risicobeheerpraktijken van financiële entiteiten.
-
Classificatie en rapportage van ICT-incidenten: Het doel is om de rapportageprocedures te standaardiseren en te vereenvoudigen, de rapportageverplichtingen uit te breiden naar alle financiële entiteiten en het spectrum van te melden incidenten te verbreden. Daarnaast maakt het kader vrijwillige melding van significante cyberdreigingen mogelijk, naast grote ICT-gerelateerde incidenten.
-
Testen van digitale operationele veerkracht: Financiële entiteiten ondergaan ofwel basistests of geavanceerde tests om hun digitale operationele weerbaarheid te beoordelen. Geavanceerde tests, verplicht gesteld door DORA, maken gebruik van dreigingsgestuurde penetratietests (TLPT) voor aangewezen entiteiten die binnen het toepassingsgebied vallen.
-
ICT-risico's van derden beheren:Dit omvat het implementeren van op principes gebaseerde richtlijnen voor het monitoren van risico's van derden, het vastleggen van cruciale contractuele bepalingen en het opzetten van een toezichtkader voor kritieke ICT-aanbieders van derden.
-
Delen van informatie: Stimuleert vrijwillige uitwisseling van informatie en inlichtingen over cyberdreigingen tussen financiële entiteiten. Het doel is om de digitale operationele weerbaarheid van financiële instellingen te versterken door het gezamenlijk delen van informatie en inlichtingen over cyberdreigingen.
Waarom is DORA nodig?
Vanaf vandaag zijn traditionele en vooral digitale financiële instellingen sterk afhankelijk van technologie en technische diensten over de grenzen heen worden aangeboden. Dit kan op zijn beurt eenimpact op andere bedrijven, sectoren en zelfs op de rest van de economie, wat het belang van de digitale operationele weerbaarheid van de financiële sector onderstreept. De financiële sector wordt steeds meer blootgesteld aan onderliggende problemen met technologie, zoals cyberaanvallen.De Covid-19 pandemie en de toename van het gebruik van toegang op afstand voor financiële diensten heeft geleid tot een groei in cyberaanvallen, zoals gerapporteerd door de Europese Commissie, die verklaarde dat een toename van 38% sinds het begin van de pandemie.
Welke maatregelen zouden de financiële instellingen kunnen nemen om te voldoen aan DORA?
Wat gebeurt er bij niet-naleving?
Elke lidstaat stelt regels vast voor passende administratieve sancties en herstelmaatregelen voor inbreuken op de verordening en zal zorgen voor een effectieve implementatie. De bevoegde autoriteiten, die door de lidstaten zullen worden aangewezen, zullen de bevoegdheid hebben om ten minste de volgende administratieve sancties of herstelmaatregelen toe te passen voor inbreuken op deze verordening:
-
Capaciteit om individuen of entiteiten te bevelen om elk gedrag dat in strijd is met de regelgeving te stoppen en zich dergelijk gedrag niet te herhalen.
-
Handhaaf stopzetting van praktijken die tijdelijk of permanent in strijd zijn met de bepalingen van de verordening, en herhaling voorkomen.
-
Implementeer diverse maatregelen, inclusief financiële sancties, om naleving door financiële entiteiten te handhaven.
-
Toegang aanvragen tot bestaande gegevens over dataverkeer van telecommunicatie-exploitanten, binnen de nationale wettelijke beperkingen, wanneer er een redelijk vermoeden bestaat dat de regelgeving is overtreden en wanneer dit relevant is voor onderzoeken.
-
Openbare aankondigingen publiceren, waaronder statements het bekendmaken van de identiteit van de persoon of organisatie en de details van de overtreding.
Het is ook mogelijk dat lidstaten ervoor hebben gekozen om geen administratieve sancties op te leggen voor overtredingen die onderworpen zijn aan strafrechtelijke sancties volgens hun nationale wetten.
Concluderend kan worden gesteld dat een strikte naleving van de Digital Operational Resilience Act een verplichte plicht is die essentieel is voor financiële instellingen nu ze de uitdagingen van digitale transformatie en cyberbeveiligingsrisico's het hoofd moeten bieden. Via proactieve risicobeoordeling, robuuste incidentresponsplanning en investeringen in cyberbeveiligingsmaatregelen, instellingen hun operationele veerkracht kunnen versterken.rken.
Bovendien zal het bevorderen van een nalevingscultuur via training, het aanmoedigen van samenwerking en het versterken van reeds bestaande structuren de veerkrachtinspanningen verder versterken. Uiteindelijk kunnen financiële instellingen, door prioriteit te geven aan operationele veerkracht, niet alleen voldoen aan de wettelijke mandaten, maar ook hun eigen bedrijfsvoering veiligstellen. operaties, reputatie, en klantenvertrouwen te midden van de toenemende digitalisering van de industrie. De kosten van naleving zou wel eens een recordstijging kunnen doormaken. Daarom moeten financiële instellingen strategische prioriteiten stellen om aan dit nieuwe regelgevingskader te voldoen.