![Outsourcing](https://www.forvismazars.com/var/mazars/storage/images/_aliases/card/media/local-contents/netherlands/8.-overige-afbeeldingen/2.-diensten/2.-accountancy/outsourcing/59242675-1-eng-GB/4cf8ed91a8a0-Outsourcing.jpg.webp)
Global Compliance & Reporting
Global compliance & reporting diensten die het complexe, eenvoudig maken
Op 11 mei 2022 hebben de voorzitters van de Raad van Europa en het Europese parlement haar goedkeuring gegeven aan de voorlopige tekst van de Digital Operational Resilience Act (DORA)[1]. Hiermee is de fase van trialogen als onderdeel van de totstandkoming van deze wet afgesloten. De finale compromistekst van DORA is op 23 juni 2022 gepubliceerd[2]. Rekening houdend met de volgende stappen rond de invoering van deze wet, betekent dit dat organisaties in de financiële sector en hun IT-dienstverleners voor eind 2024 aan de digitale weerbaarheidseisen van DORA moeten voldoen. Het doel van de DORA wetgeving is om de eisen, gesteld aan het beheersen van ICT risico’s, te harmoniseren en daarmee de continuïteit van de kritieke processen binnen de organisaties te waarborgen.
Dit geldt met name voor verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, beleggingsinstellingen, beheermaatschappijen, banken, crypto-asset service providers, instellingen voor bedrijfspensioenvoorziening en derde aanbieders van ICT-diensten.
De introductie van DORA is bedoeld om de maatschappelijke en economische risico’s van de toenemende cyberbedreigingen in de financiële sector te reduceren. Er zijn verschillende oorzaken te noemen voor het stijgende cyberbedreigingsbeeld, zoals: de toenemende verwevenheid van organisatie-overschrijdende informatietechnologie, uitbesteding van IT aan third parties, waaronder cloud service providers. En ook de voortgaande digitalisering van de financiële sector, waaronder digitalisering van financiële diensten en fintech-toepassingen enerzijds, en het bestaan van kwetsbare legacy systemen binnen de sector anderzijds.
Niet alleen financiële instellingen krijgen te maken met de introductie van DORA. Ook IT-dienstverleners die actief zijn in de financiële sector worden door deze wet gereguleerd door de betreffende toezichthouders. Auditkantoren worden, in tegenstelling tot de vorige DORA-tekst, voorlopig buiten de werking van DORA geplaatst. Voor auditkantoren volgt in een later stadium een uitbreiding op DORA. Hierover is besloten dat dit uiterlijk binnen drie jaar na de invoering van DORA plaatsvindt.
Met de publicatie van de compromistekst op 23 juni 2022 is nu voor organisaties, die onder de regelgeving van DORA vallen, de tijd aangebroken om over te gaan tot actie. DORA vereist naast beleidsmatige en procedurele maatregelen, ook aantoonbare operationele maatregelen op het gebied van digitale weerbaarheid en de bijbehorende verantwoording.
Voor organisaties die nu reeds onder toezicht staan van bijvoorbeeld De Nederlandse Bank of Agentschap Telecom, is de impact waarschijnlijk minder groot dan voor organisaties waar dit nu nog niet het geval is. Wij adviseren u dat u bij uw organisatie eerst vaststelt welke gaps aanwezig zijn binnen de huidige informatiebeveiligingsprocessen ten opzichte van de DORA vereisten. Op basis hiervan kan een passend actieplan opgesteld worden om de vereisten vanuit DORA gestructureerd in te voeren en te borgen. Dit is een uitdagend proces en de meeste organisaties zullen door de komst van DORA hun cybersecurity maatregelen drastisch moeten opschalen en op een meer geïntegreerde wijze moeten gaan beheersen.
De DORA wetgeving kan gegroepeerd worden in een vijftal pilaren die elk een specifieke focus hebben. In de illustratie is aangegeven welke pilaren te onderscheiden zijn. De specifieke vereisten uit DORA kunnen uiteindelijk ondergebracht worden in een uniform ICT Risk Management Framework om de digitale weerbaarheid van een organisatie blijvend te beheersen. Per pilaar zijn er enkele opvallende impressies gegeven vanuit de nieuwe DORA wetgeving.
Pilaar I: ICT Risk Management
Pilaar II: ICT Incident Reporting
Pilaar III: Digital Operational Resilience Testing
Pilaar IV: ICT Third Party Risk Management
Pilaar V: Information And Intelligence Sharing
Ten slotte is belangrijk te onderkennen dat in 2023 nog aanvullingen volgen op de meer technische normen. De uitwerking van deze technische invulling van maatregelen ligt bij de diverse European Supervisory Authorities (ESAs).
Tot zover slechts enkele impressies uit DORA waarmee ook aangegeven is dat DORA een veelomvattende en verstrekkende wet is en voor veel organisaties ingrijpende gevolgen zal hebben voor IT-risk management en interne beheersing, met als focus cyberweerbaarheid. Met vaststelling van de nu overeengekomen tekst van DORA is een goede basis gelegd voor organisaties om zich voor te bereiden op de implementatie dan deze wet. De verwachting is dat in oktober 2022 het Europese parlement DORA zal bekrachtigen. Het is verstandig om nu te starten met het uitvoeren van de gap-analyse met als doel het opstellen van een roadmap voor het ontwerp van het vereiste “digital resilence risk management framework” waarna er voldoende tijd is voor de verdere implementatie van de bijbehorende benodigde maatregelen vóór eind 2024.
In het kader van het programma "Cybersecurity in het DIGITALE Europa" zijn tal van wetgevingsinitiatieven gestart, zoals de vaststelling van de Netwerk- en informatiedienstenrichtlijn 2 (NIS2), het Europees certificatiesysteem voor cyberbeveiliging van clouddiensten (EUCS) als onderdeel van de EU-wet inzake cyberbeveiliging en de EU-wet inzake gegevensbeheer.
Wilt u meer weten over DORA of wat u al kunt doen? Neem dan contact op met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99, met Jeffrey de Bruijn per e-mail of per telefoon +31 (0)88 277 11 27 of met Diman Kamp per e-mail of per telefoon: +31 (0)88 277 14 67. Zij helpen u graag verder.
Voetnoten
[1] Raad van de EU, Persmededeling , 11 mei 2022, Digitale financiën: voorlopig akkoord over eDORA
[2]REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014
Deze website maakt gebruik van cookies.
Sommige zijn noodzakelijk, andere helpen ons bij het analyseren van het gebruik van de website, dienen advertenties of zorgen voor een gepersonaliseerd websitebezoek.
In onze privacy policy vindt u meer informatie over de cookies die wij gebruiken.
Zonder deze cookies functioneert deze website niet optimaal.
Deze cookies helpen ons deze website te verbeteren door informatie te vergaren over het gebruik hiervan.
Met behulp van deze cookies kunnen wij de relevantie van onze advertenties vergroten.