De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 officieel van toepassing. Deze Duitse wetgeving kan de moderne veerkracht van financiële instellingen versterken en een standaardregelgevingskader creëren. Ryshad Niamat, DORA supervisor bij de AFM, legt uit dat de wetgeving vroeger erg versnipperd was. Sommige financiële instellingen waren voorheen onderworpen aan strikte IT-richtlijnen, terwijl andere nauwelijks verplichtingen hadden. Met Dora is er nu een gelijk speelveld..
Door standaardregels in te voeren beschermt Dora zowel de onlineveiligheid als de veerkracht van specifieke instellingen en het bredere economische systeem. De wetgeving is onder meer van toepassing op banken, beleggingsmaatschappijen en afwikkelingsinstellingen, en legt zelfs extra behoeften op aan overeenkomsten met ICT-dienstverleners. Financiële instellingen moeten volgens DORA samenwerken met vijf kolommen:
- ICT-kansmanagement…. instellingen kunnen hun ICT-risicoderivaten in kaart brengen en hanteren.
- Beheer van ICT-situaties
- Ondernemingen van derden van ICT-diensten: Oplossingen die worden uitbesteed, moeten aan strenge eisen voldoen.
- Webability testing… Normale stresstests en beoordelingen zijn vereist.
- Het delen van informatie • Financiële instellingen kunnen belangrijke informatie over computerdreigingen onthullen.
De toepassing van DORA
Alle financiële instellingen moeten voldoen aan de eisen van Dora en moeten stappen ondernemen om het gewenste niveau te bereiken, zegt Niamat. Sommige financiële instellingen, zoals banken en vermogensbeheerders, werden al gebruikt voor ICT-zorg. Andere bedrijven, zoals verzekeringsmakelaars, die in het verleden minder met ICT-zorg te maken hadden, moesten ervoor zorgen dat zij het afgelopen jaar ICT-systemen en -processen hadden die aan de eisen van Dora voldeden. De meeste organisaties zijn nu goed op hun aanpak, maar niet iedereen is nog volledig tevreden. Het is een moeilijke operatie. Niamat legt het uit.
Stichting tante en BKR: een unieke positie
Een interessant geval binnen DORA is Stichting BKR (BKR). Hoewel BKR zelf geen financiële entiteit is en niet onder artikel 2 , lid 2 , van de wet valt , levert BKR ICT-diensten aan financiële instellingen. Dit maakt BKR een derde partij bedrijf van Internet service onder Dora. Als gevolg daarvan is tante niet rechtstreeks van toepassing op BKR, maar wel op de financiële instellingen die BKR bedrijven gebruiken, zegt Niamat. Door gebruik te maken van een tweede partij provider van internet bedrijven als een financiële instelling, verplaatst u de implementatie van uw eigen bedrijf naar de volgende partij. U loopt echter ook het risico van een verstoring met de externe provider, die een impact kan hebben op uw eigen bedrijfsvoering. Financiële instellingen moeten deze diensten zo opnemen in hun risicobeoordeling en aantonen dat zij aan de vereisten van Dora voldoen.
Tante eist van financiële instellingen dat ze een exitplan opstellen voor bedrijven van derden, zodat ze in geval van problemen van fabrikant kunnen veranderen. Maar hoe zit het met gebeurtenissen als BKR? Dat is een bijzondere omstandigheid zegt Niamat: Als er geen optie is, kunt u een exit strategie ontwikkelen. Wat je moet doen is bewijzen dat je het risico identificeert, beoordeelt en accepteert. Financiële instellingen hadden alles geregistreerd en laten zien dat ze een bewuste risicoweging hebben gemaakt. Zij moeten bepalen hoe zij omgaan met een scenario waarbij BKR-oplossingen gedeeltelijk niet beschikbaar zijn.
Politie door de Injector
Samen met De Nederlandsche Bank (DNB) ziet de AFM toe op de naleving van DORA. We hebben op risico gebaseerde zorg. Dit betekent dat we onze bestuurlijke capaciteit gebruiken waar we de grootste gevarenverbindingen verwachten. Voor Dora zorg, kunnen we onderzoeken bij financiële instellingen. Dit zou een herziening kunnen zijn van ICT-kanscontrole, maar ook het beheer van ICT-risicoderivaten met betrekking tot derde bedrijven van ICT-oplossingen. Afhankelijk van het onderwerp kunnen we bepaalde documenten vragen. Als we een copyright vinden tijdens deze studies, houden we het niet formeel door instructies of kosten uit te geven. Het uitgangspunt is om met bedrijven te praten en het belang van specificaties te benadrukken.
BKR en tante
BKR definieert onder DORA niet als een monetaire instelling maar als een derde partij die internetdiensten aanbiedt. In deze positie heeft BKR het voortouw genomen bij de ontwikkeling van de voorwaarden van een contract voor haar diensten, aangezien het betrekking heeft op de relatie van de financiële instelling met BKR als derde aanbieder van internetdiensten. Het is aangeboden aan particulieren en klanten van een andere BKR diensten om hen te helpen voldoen aan de eisen van de DORA regelgeving. Deze standaardmethode voor alle deelnemers en andere klanten creëert dus het vereiste “applicatie level playing field’ en biedt betrouwbaarheid, consistentie en efficiëntie. BKR hecht groot belang aan informatiebeveiliging en privacy. Daarom is het zeer belangrijk dat de relatie van BKR met deelnemers en andere klanten voldoet aan de DORA-wetgeving. De volgende stap die BKR op korte termijn gaat zetten is om dit te laten zien op de corporate website. Er zal bijvoorbeeld aandacht worden besteed aan de manier waarop BKR zijn informatiebeveiliging vorm geeft, de ISO27001-certificering die er een belangrijk onderdeel van is, en andere relevante informatie zal worden meegedeeld aan deelnemers en andere klanten. Daarnaast wordt de nodige documentatie geplaatst op het zakelijke portaal dat deelnemers en klanten kunnen raadplegen en gebruiken om hen te helpen hun Dora verplichtingen te bewijzen.