DORA

Overzicht

De Digital Operational Resilience Act (DORA) stelt uniforme eisen aan de beveiliging en veerkracht van netwerk- en informatiesystemen die de bedrijfsprocessen van financiële entiteiten ondersteunen. Het creëert ook een kader voor toezicht op kritieke ICT-dienstverleners van derden.^[1]

DORA is een verordening, wat betekent dat deze rechtstreeks van toepassing is in alle EU-lidstaten zonder omzetting.

Entiteiten binnen het toepassingsgebied

Financiële entiteiten^[2]

• Kredietinstellingen (banken)
• Betaalinstellingen
• E-moneysinstellingen
• Beleggingsondernemingen
• Verzekerings- en herverzekeringsondernemingen
• Centraal effectenbewaarplaatsen
• Handelsregisters
• Kredietbeoordelingsbureaus
• Crypto-asset dienstverleners
• Crowdfunding dienstverleners
• Data-rapportagedienstverleners

Kritieke ICT-dienstverleners van derden

De Europese toezichthoudende autoriteiten wijzen kritieke ICT-dienstverleners aan op basis van:

• Systemische impact bij falen van de dienstverlener
• Mate van vervangbaarheid
• Aantal financiële entiteiten dat afhankelijk is van de dienstverlener

Aangewezen dienstverleners vallen onder het EU-toezichtkader.

Vijf pijlers van DORA

1. ICT-risicobeheer (Hoofdstuk II)

Financiële entiteiten moeten opzetten en onderhouden:

• Bestuur: Verantwoordelijkheid van het bestuur voor ICT-risicostrategie
• Risicokader: Identificatie, bescherming, detectie, respons, herstel
• Documentatie: Beleid, procedures en protocollen voor ICT-beveiliging
• Testen: Regelmatige evaluatie van ICT-systemen en -tools

2. ICT-incidentrapportage (Hoofdstuk III)^[3]

Grote ICT-gerelateerde incidenten moeten worden gerapporteerd met gestandaardiseerde sjablonen.

3. Testen van digitale operationele veerkracht (Hoofdstuk IV)

Testen moet omvatten: kwetsbaarheidsbeoordelingen, netwerkbeveiligingsbeoordelingen, softwarebeveiligingsreviews, broncodebeoordelingen (indien haalbaar), scenario-gebaseerde testen en compatibiliteitstesten.

4. Risicobeheer van derden (Hoofdstuk V)^[4]

Financiële entiteiten moeten:

• Register bijhouden van alle ICT-derdenovereenkomsten
• Due diligence uitvoeren vóór contractering
• Concentratierisico's beoordelen
• Verplichte contractuele bepalingen opnemen
• Exitstrategieën definiëren
• Overeenkomsten rapporteren aan bevoegde autoriteiten

Verplichte contractvoorwaarden omvatten beschrijvingen van serviceniveaus, gegevensbeschermingsverplichtingen, toegangs- en auditrechten, incidentrapportagevereisten en beëindigingsrechten met overgangsondersteuning.

5. Informatie-uitwisseling (Hoofdstuk VI)

Financiële entiteiten mogen cyberdreigingsinformatie uitwisselen binnen vertrouwde gemeenschappen, onder voorbehoud van vertrouwelijkheidsregels, om collectieve verdediging te versterken.

Proportionaliteit

DORA past proportionaliteit toe op basis van de grootte en het risicoprofiel van de entiteit, de aard, omvang en complexiteit van de diensten en het systemisch belang.

Vereenvoudigde eisen gelden voor kleine en niet-verbonden beleggingsondernemingen, betaal- en e-moneysinstellingen onder bepaalde drempels, en bepaalde verzekeringsbemiddelaars.

Sancties

Bevoegde autoriteiten kunnen opleggen:^[5]

• Administratieve boetes
• Periodieke dwangsommen
• Publieke verklaringen
• Intrekking van vergunning
• Tijdelijke verboden op bestuursfuncties

Specifieke bedragen worden bepaald door het nationale recht van de lidstaat.

Implicaties voor ontwikkelaars en ICT-dienstverleners

Als u ICT-diensten levert aan de financiële sector:

1. Contractbeoordeling: Zorg dat contracten voldoen aan DORA-eisen
2. Incidentrapportage: Richt meldingskanalen voor klanten in
3. Testondersteuning: Faciliteer penetratietesten door klanten
4. Exitplanning: Zorg voor ordentelijke overgang bij contractbeëindiging
5. Bewustzijn van concentratie: Monitor afhankelijkheden van uw diensten
6. Kritieke aanwijzing: Bereid u voor op mogelijk EU-toezicht