DORA verordening: wat financiële instellingen moeten weten

Compliance7 min leestijd
K

Kees van der Vlies

Partner | IT-auditor

De Digital Operational Resilience Act, beter bekend als DORA, is een Europese verordening die directe werking heeft in alle EU-lidstaten. DORA stelt uniforme eisen aan de digitale operationele weerbaarheid van financiële entiteiten en hun kritieke ICT-dienstverleners.

DORA is van toepassing op een breed scala aan financiële entiteiten: banken, verzekeraars, beleggingsondernemingen, betaalinstellingen, crypto-asset dienstverleners en hun kritieke ICT-leveranciers. De verordening erkent dat de financiële sector steeds afhankelijker is van ICT en dat verstoringen een systeemrisico vormen.

De verordening rust op vijf pijlers. De eerste is ICT-risicobeheer: financiële entiteiten moeten een robuust kader voor ICT-risicobeheer inrichten met governance, identificatie, bescherming, detectie, respons en herstel.

De tweede pijler betreft ICT-gerelateerde incidenten. Entiteiten moeten een proces inrichten voor het detecteren, classificeren en rapporteren van ICT-incidenten. Ernstige incidenten moeten worden gemeld bij de toezichthouder binnen strikte termijnen.

Pijler drie gaat over digital operational resilience testing. Entiteiten moeten hun ICT-systemen periodiek testen, waaronder penetratietests. Systeemrelevante entiteiten moeten threat-led penetration testing uitvoeren op basis van het TIBER-EU framework.

De vierde pijler betreft ICT third-party risk. DORA stelt gedetailleerde eisen aan het beheer van risico's die voortvloeien uit ICT-uitbestedingsrelaties. Er komen ook een oversight framework voor kritieke ICT-dienstverleners.

Pijler vijf regelt informatie-uitwisseling: entiteiten mogen onderling informatie delen over cyberdreigingen en kwetsbaarheden.

Voor Nederlandse financiële instellingen betekent DORA dat bestaande regelgeving van DNB en AFM wordt aangevuld en deels vervangen door een Europees uniform kader. Organisaties die al compliant zijn met de DNB Good Practice Informatiebeveiliging hebben een voorsprong, maar moeten hun kader nog afstemmen op de specifieke DORA-vereisten.

Secure Audit helpt financiële instellingen bij het in kaart brengen van hun DORA-gaps en het implementeren van de vereiste maatregelen. Neem contact op voor een DORA readiness assessment.

Over de auteur

K
Kees van der Vlies

Partner | IT-auditor

Terug naar kennisbank

Meer artikelen

Compliance

ISO 42001 certificering: 7 lessen uit de praktijk

Steeds meer bedrijven willen ISO 42001-gecertificeerd worden. Maar de praktijk is weerbarstiger dan de theorie. Dit zijn de zeven dingen die wij tegenkomen bij organisaties die hun AI-governance op orde willen brengen.

Door Kees van der Vlies
Compliance

NIS2 richtlijn

De NIS2-richtlijn brengt strikte cybersecurity-eisen met zich mee voor Nederlandse organisaties. Lees alles over de implementatie en je verplichtingen.

Door Kees van der Vlies
Compliance

DORA digital resilience

DORA (Digital Operational Resilience Act) stelt strikte eisen aan digitale veerkracht in de financiële sector. Lees wat dit betekent voor jouw organisatie.

Door Kees van der Vlies

Heb je een vraag?

Neem contact met ons op voor advies over IT-audit, compliance en informatiebeveiliging.

Contact opnemen