Wat is DORA?
DORA is één van de vele nieuwe wet- en regelgevingen die binnen afzienbare tijd van toepassing worden voor alle financële instellingen binnen de lidstaten van de Europese Unie. DORA staat voor Digital Operational Resilience Act en heeft als voornaamste doel om wet- en regelgeving op het gebied van cyberrisico’s voor de financiële sector te uniformeren en te standaardiseren en om de digitale weerbaarheid tegen cyberaanvallen te versterken.
In tegenstelling tot bijvoorbeeld de NIS2-regelgeving is DORA echter een verordening die niet eerst in lokale wet- en regelgeving geïmplementeerd moet worden voordat deze van kracht is. DORA is daarom per 17 januari 2025 direct van kracht binnen alle lidstaten van de Europese Unie en de implementatie zal ook op het niveau van de Europese Commissie worden gemonitord door de Europese toezichthouders EBA (Europese Bankautoriteit), EIOPA (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en ESMA (Europese Autoriteit voor Effecten en Markten).
De volgende organisaties vallen onder andere onder DORA:
- Banken
- Verzekeraars
- Beleggingsondernemingen (waaronder pensioenfondsen)
- Cryptodienstverleners
De reikwijdte van DORA stopt echter niet bij deze financiële entiteiten omdat DORA deze instellingen tegelijkertijd verplicht om ook regie te houden op de beheersing van cyberrisico’s in de gehele keten, dus ook die van de leveranciers van de instelling die dienstverlening leveren bestaande uit of ondersteund door ICT. Een vermogensbeheer van een pensioenfonds valt bijvoorbeeld ook onder deze definitie. Dit heeft als voordeel dat de Europese toezichthouders alleen toezicht hoeven te houden op de financiële entiteiten in scope van de verordening maar dat tegelijkertijd er door deze entiteiten zelf toezicht wordt gehouden op de rest van de keten.
DORA bestaat uit 3 niveaus
Level 1 – de primaire wetgeving: bestaande uit 5 hoofdonderwerpen.
Level 2 – de technische standaarden: bestaande uit Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS).
Level 3 – niet-bindende richtlijnen.
Hieronder worden deze 3 niveaus/levels nader toegelicht.
Goed om te weten is dat DORA in tegenstelling tot andere Cyber Security wet-en regelgeving zoals NIS2 of normenkaders zoals NIST en CIS, rule-based is in plaats van principle-based.
DORA level 1 bestaat uit de volgende hoofdonderwerpen uit de primaire wetgeving:
- ICT Risicobeheer;
- Incidentenbeheer;
- Testen van digitale weerbaarheid;
- ICT-outsourcing;
- Informatie-uitwisseling.
DORA level 2 beschrijft per onderwerp uit de primaire wetgeving de regels die in detail gevolgd moeten worden (RTS), zoals bijvoorbeeld de RTS “ICT incident classification” die in detail ingaat op de classificatie van incidenten. Tevens worden er templates verschaft voor de meest uitgebreide vereisten (ITS), zoals bijvoorbeeld het Register van Informatie voor alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten.
DORA level 3 beschrijft de niet-bindende richtlijnen. Deze zijn bedoeld om best practices te delen, bevatten voorbeelden en praktische tips en zijn uiteindelijk bedoeld om een uniforme toepassing van de regelgeving in alle EU-lidstaten te bevorderen.
Meldingsplicht
Naast het verplicht nemen van maatregelen geldt een meldingsplicht voor financiële instellingen die onder DORA vallen. Deze meldingsplicht is tweeledig:
1. Incidentmelding
Melden van incidenten die een impact hebben op de dienstverlening van een financiële instelling. Dit gaat verder dan de huidige eisen van De Nederlandsche Bank (DNB).
2. Meldplicht derde partijen
Alle contractuele overeenkomsten voor het leveren van ICT-diensten moeten worden vastgelegd in een register. Ondernemingen moeten daarbij opnemen of de afgenomen diensten kritieke of belangrijke activiteiten ondersteunen. Toezichthouders kunnen dit register opvragen. Daarnaast dienen nieuwe overeenkomsten jaarlijks te worden gerapporteerd. Overeenkomsten met betrekking tot kritieke of belangrijke functies moeten ook tussendoor actief gemeld worden bij de toezichthouder¹.
Sancties
De specifieke sancties voor de DORA variëren afhankelijk van de context en de mate van niet-naleving. De gevolgen kunnen zijn:
- Boetes en financiële sancties. De hoogte kan variëren op basis van de ernst van de inbreuk en de omvang van de instelling.
- Beperkingen op bedrijfsactiviteiten. Toezichthouders kunnen beperkingen opleggen aan de activiteiten van financiële instellingen die niet voldoen aan DORA. Dit kan bijvoorbeeld betekenen dat ze bepaalde diensten niet mogen aanbieden of hun activiteiten moeten verminderen.
- Reputatieschade. Niet-naleving van DORA kan leiden tot negatieve publiciteit en reputatieschade voor de betrokken instellingen.
- Strafrechtelijke vervolging. In ernstige gevallen kunnen individuen binnen de financiële instelling, hoofdzakelijk het bestuur, strafrechtelijk worden vervolgd bij het opzettelijk schenden van de DORA voorschriften.
Grotere rol van het bestuur bij DORA
De reikwijdte van DORA is groter dan alleen de financiële instellingen die benoemd worden in de verordening, omdat de instellingen tegelijkertijd verplicht zijn om regie te houden op de beheersing van cyberrisico’s in de gehele keten.
Wat opvalt, is dat de DORA zeer omvangrijk is, bestaande uit honderden pagina’s en dat deze verordening rule-based is. Afwijking van de regels is maar voor een zeer selecte groep aan organisaties, onder de noemer micro-organisaties, toegestaan. Verder zijn nog niet alle Level 2, ofwel Regulatory Technical Standards, uitgebracht. De laatste batch aan standaarden wordt pas op 17 juli 2024 uitgebracht. Echter, ook deze standaarden moeten per 17 januari 2025 geïmplementeerd zijn door organisaties.
Wat ook opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.
Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (en hun leveranciers) en de verwachtte implementatietijd per organisatie is aanzienlijk. Het is daarom belangrijk om zo snel mogelijk te starten.
Volgende stappen: hoe word u DORA-compliant?
Om compliant te worden aan DORA, adviseren wij u de volgende stappen te nemen:
- Start met een fit-gap analyse op DORA level 1 niveau. Indien uw organisatie onder DNB toezicht staat kunt u hiervoor ook de DNB Good Practice Informatiebeveiliging 2023 gebruiken. Dit kader wordt al door DNB gebruikt en dekt een groot deel van DORA level 1 af.
- Volg de gaps op DORA level 1 niveau op en gebruik hiervoor de “rules” uit de verordening.
- Voer een fit-gap analyse uit op DORA level 2 niveau.
- Volg de gaps op DORA level 2 niveau op.
- Start met de reeds goedgekeurde policies en tijdrovende ITS’en.
- Voer opnieuw een fit-gap analyse uit op DORA level 2 niveau (nadat het 2e deel van de level 2 policies zijn uitgebracht op 17 juli 2024, zoals vermeld in de vorige paragraaf).
- Volg de laatste gaps op.
- Laat eind 2024 een (interne) audit uitvoeren om vast te stellen of aan alle DORA eisen wordt voldaan.
Indien uw organisatie verwacht om niet tijdig (volledig) compliant te zijn dan adviseren wij om in ieder geval de belangrijkste vereisten op orde te hebben, onder andere de vereisten in de RTS’en “Register of Information”, “ICT incident classification” en “Major Incident Reporting”.
Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.
Wilt u meer weten of een keer sparren over DORA? Ontdek onze diensten of neem direct contact op met Anita van der Leeuw anita@arcpeople.nl of via 06-18682946.
¹ DORA update 2: Aan de slag met DORA: Beheer van ICT-risico van derde aanbieders, AFM, December 2023.