DORA

Wat is DORA?

Op 14 december 2022 is de Digital Operational Resilience Act (DORA) uitgebracht door het Europees Parlement met als voornaamste doel om wet- en regelgeving op het gebied van cyber-risico’s voor de financiële sector te uniformeren en te standaardiseren en uiteraard de digitale weerbaarheid tegen cyberaanvallen te versterken.

Bekijk de verordering van het Europees Parlement >

Voor wie van toepassing

Deze wetgeving wordt per 17 januari 2025 van kracht voor een groot aantal soorten financiële entiteiten in de EU: banken, verzekeraars en uiteraard ook pensioenfondsen vallen binnen de scope. De reikwijdte van DORA is echter nog veel groter omdat onder DORA financiële entiteiten verantwoordelijk zijn voor de ICT-risico’s van derde partijen (waaronder uitvoeringsorganisaties en ketenpartners zoals ICT dienstverleners).

Inhoud van de wetgeving

DORA heeft 5 belangrijke onderdelen op hoofdniveau (level 1):

1. 1. ICT risicobeheer;
   2. Melden van ICT incidenten;
   3. Testen van digitale weerbaarheid;
   4. Beheren van ICT-risico’s bij derde partijen;
   5. Informatie-uitwisseling rondom cyberdreigingen en kwetsbaarheden.

Verder bestaat DORA uit de volgende technische standaarden op detailniveau (Level 2):

• Regulatory Technical Standards (RTS), zoals bijvoorbeeld het uitvoeren van Threat-led Penetration testing volgens het uitgebreide TIBER-EU normenkader. Meer informatie >
• Implementing Technical Standards (ITS). In de ITS zijn gedetailleerde templates opgenomen die gehanteerd dienen te worden om te voldoen aan DORA. Belangrijk voorbeeld hierin is het “Register of Information”. In de “ITS Register of Information” wordt in de grootste detail aangegeven hoe dit register opgebouwd dient te worden. Zie ook de onderstaande figuur.

Templates in ITS Register of Information

Belangrijk om hierbij te vermelden is dat de finale versie van het 2^e deel van de RTS en ITS pas beschikbaar zijn gekomen in juli 2024.

Relatie met DNB Good Practice Informatiebeveiliging

Om voor te bereiden op de DORA heeft DNB op 19 december 2023 een update van de Good Practice Informatiebeveiliging uitgebracht. Een additionele ‘stille” update van deze versie geeft echter het volgende aan: “Vanaf 17 januari 2025 is DORA het wettelijke kader voor operationele weerbaarheid en vervangt daarmee de huidige Good Practice Informatiebeveiliging 2023 voor de instellingen die onder de reikwijdte van DORA vallen. U kunt de Good Practice Informatiebeveiliging 2023 als wegwijzer gebruiken om prioriteit te geven aan maatregelen die de belangrijkste risico’s mitigeren”.

Ga naar Q&A >

Implementatie

Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (waaronder pensioenfondsen) en de verwachtte implementatie tijd per organisatie is aanzienlijk: alle artikelen samen betreffen honderden pagina’s. Het is daarom belangrijk om zo snel mogelijk te starten.