Site Search

Menu

Diensten

Menu

Audit & Assurance

Featured

Community of solvers

Belastingplan 2025

Doing Business in the Netherlands 2024

Menu

Marktsectoren

Menu

Asset & Wealth Management

Menu

Energie, Utilities & Resources

Menu

Pharma & Life Sciences

Menu

Retail & consumer

Featured

Community of solvers: duurzame vooruitgang

Rijksbegroting 2024: de hoofdpunten per ministerie

ESG-reporting: een noodzakelijk middel voor het grotere doel

Menu

Onze organisatie

Menu

Gedragscodes en Meldings- & Klokkenluidersregeling

Menu

Line of Service-boards (LoS-boards)

Menu

Public & Regulatory Affairs

Featured

Community of solvers

Jaarbericht 2022/2023

Kantoren in Nederland

Loading Results

Hoe de Digital Operational Resilience Act uw continuïteit bevordert

Hoe de Digital Operational Resilience Act (DORA) uw continuïteit bevordert in voor en tegenspoed

De Digital Operational Resilience Act (DORA) heeft tot doel de ICT-risicovoorschriften te versterken en harmoniseren in de gehele financiële sector van de EU en een gestroomlijnd kader voor digitale operationele weerbaarheid tot stand te brengen.

Tegelijk met DORA is de richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) gepubliceerd. Deze richtlijn heeft een vergelijkbaar doel, namelijk de weerbaarheid van de EU-infrastructuur verbeteren. Ook financiële instellingen vallen onder NIS2, maar waar DORA specifieker is, heeft DORA voorrang. De wetgeving is gericht op het waarborgen en handhaven van een robuuste financiële sector omdat deze van vitaal belang is in ons dagelijks leven. Wij zijn  hier als consumenten van afhankelijk, en vele waardeketens kunnen niet functioneren zonder financiële infrastructuur.

De focus van de wetgever is dus om dit hele ecosysteem draaiende te houden. Dit kan gemakkelijk in lijn worden gebracht met de doelstelling van de individuele organisaties, aangezien ook zij de integriteit van hun bedrijf willen handhaven. Niet alleen vanwege de rol die zij in het ecosysteem spelen, maar ook ten behoeve van hun eigen continuïteit.

Het gevolg is dat DORA vereisten al herkenbaar zijn, omdat deze idealiter al deel uitmaken van de bestaande IT & technology risk management instrumenten. Daarom is dit is een goed moment om uw ICT-risicobeheerpraktijken opnieuw te evalueren en ervoor te zorgen dat ze niet alleen voldoen aan de vereisten maar ook bijdragen aan de bedrijfscontinuïteit, in voor en tegenspoed.

Wat is er uniek aan DORA en op wie heeft zij betrekking?

De verordening is uniek door de invoering van een holistisch wetgevingskader voor de hele EU. Het omvat ICT-risicobeheer, operationele ICT- en cyberbeveiligingscapaciteiten en het beheer van derden om een consistente levering van ICT-diensten in de hele waardeketen te waarborgen. 

Het toezicht wordt uitgeoefend door de Europese toezichthoudende autoriteiten (ETA's). De ETA's zullen de rol op zich nemen van toezichthouder op financiële instellingen en derde aanbieders van ICT-diensten. Dit betekent dat derde aanbieders die essentiële diensten aan financiële instellingen leveren rechtstreeks onder Europees toezicht vallen, en indirect, via eisen die aan financiële instellingen worden gesteld om naar behoren risicobeperkende maatregelen bij hun dienstverleners voor te schrijven en te controleren.

DORA zal meer dan 22.000 financiële entiteiten die in de EU actief zijn onder het toepassingsgebied brengen:  traditionele entiteiten uit de financiële sector zoals beurzen en clearinginstellingen, kredietinstellingen, beleggingsondernemingen, beheerders van alternatieve beleggingsfondsen en verzekeraars, Alsmede aanbieders van crypto-activa, datarapporteringsdiensten, clouddiensten  en ICT-dienstverleners.

Hoewel de DORA voortbouwt op vertrouwde praktijken op het gebied van informatierisicobeheer, zij het minder holistisch in eerdere regelgeving voor banken en verzekeraars, zullen de vereisten nieuw zijn voor andere marktdeelnemers die onder de regelgeving vallen. Het belangrijkste verschil tussen DORA en eerdere verordeningen is echter de breedte en diepte van de vereisten die de verordening zal invoeren om ervoor te zorgen dat het ecosysteem geen zwakke schakels heeft en individuele instellingen een holistische aanpak hanteren. De verordening zal specifieke en prescriptieve vereisten invoeren, niet alleen voor financiële entiteiten, maar voor alle marktdeelnemers die in de EU actief zijn en kritische diensten aan de financiële entiteiten verlenen, met inbegrip van externe dienstverleners.

Hoe uitdagingen van de nieuwe DORA-eisen succesvol te implementeren

Inzicht krijgen in de mate waarin uw organisatie voldoet aan DORA-eisen en de (aankomende) technische standaarden is natuurlijk essentieel voor de ontwikkeling van uw DORA-compliance roadmap. Hieronder geven wij op basis van onze ervaring een overzicht van de belangrijkste elementen voor bedrijven in de financiële sector in hun reis om te voldoen aan DORA.

In lijn met de regelgevingsagenda's van zowel DNB als ECB, voorzien wij als grootste uitdaging het proces van het inbedden van ICT-risico's van derden als integraal onderdeel van het ICT-risicobeheer van uw organisaties. Het overzien en beheren van de ICT-risico's voor de volledige keten van derden met voldoende diepgang, en het op de juiste manier reageren op de risico's die voortvloeien uit derden (of hun derden) zal een grote onderneming zijn. Een belangrijke uitdaging is het tijdig verkrijgen van de relevante informatie van de keten van derden. Dit zal nodig zijn om risico's te identificeren en die bevindingen op te nemen als integraal onderdeel van uw risicobeheer. Zonder dit wordt uw vermogen om de juiste beslissingen te nemen belemmerd. 

Een nauw verwante uitdaging is ervoor zorgen dat uw organisatie volledig inzicht heeft in welke (bedrijfs)diensten afhankelijk zijn van welke (bedrijfs)processen, ondersteund door welke systemen en welke gegevens deze verwerken. Zodra dat beeld compleet is, en uw organisatie begrijpt van welke processen en systemen u afhankelijk bent bij welke leverancier, zou u een vrij goed idee moeten hebben waar uw risico's zich bevinden, hoe deze worden beperkt en of deze zijn geconcentreerd bij bepaalde derde partijen. 

Aangezien DORA het toezicht van de toezichthouder uitbreidt tot deze derde aanbieders van ICT-diensten verwachten wij dat de maturiteit van deze derden op den duur op natuurlijke wijze zal toenemen.

Hieronder vindt u de belangrijkste elementen waarop u zich moet concentreren:

  • Zorg voor een holistische en solide ICT-strategie die is afgestemd op uw ICT-risicobeheerstrategie om de weerbaarheid van uw bedrijf te waarborgen. Dit moet worden afgestemd op de bedrijfsstrategie en vereist eigenaarschap van senior management dat ervoor zorgt dat het senior management voldoende kennis en vaardigheden heeft op het gebied van ICT-risico's en tijdige ICT-risicorapportage heeft over alle ICT-gerelateerde risico's voor hun besluitvorming.
  • Zorg voor een hoge mate van volwassenheid van het beheer van ICT-assets, zodat de verbanden tussen middelen en bedrijfsprocessen en -diensten in kaart zijn gebracht en beoordeeld als basis voor de identificatie en beperking van risico's.
  • Zorg voor een hoog niveau van volwassenheid van het beheer van (beveiligings)incidenten, inclusief het opschalen van middelen. Dit vormt de basis voor tijdige respons en herstel bij (beveiligings)incidenten en maakt tijdige rapportage aan uw belangrijkste belanghebbenden, zoals de toezichthouder, mogelijk.
  • Zorg ervoor dat de detectie van afwijkende activiteiten meerlagig is en alle kritieke bedrijfsmiddelen omvat om een hoge mate van zekerheid te bereiken dat ongeautoriseerde activiteiten worden herkend  via het incidentenproces worden opgevolgd.
  • Zorg voor een solide testprogramma voor digitale operationele weerbaarheid dat alle kritieke IT-systemen en toepassingen omvat, dat een multidimensionaal beveiligingsoverzicht en een gedegen risicogebaseerde aanpak heeft om ervoor te zorgen dat alle relevante beveiligingsaspecten en dreigingen aan bod komen. Werk aan verschillende testscenario's - waaronder kwetsbaarheidstests, penetratietests, enz.
  • Zorg ervoor dat uw ICT-uitbestedingsaanpak een volledig waardeketenperspectief heeft dat de risico's voor de volledige keten van uw organisaties ICT-uitbestedingsketen integreert en ervoor zorgt dat de potentiële impact op de organisatie bekend is en wordt verantwoord.

Wat kan het u opleveren?

In de afgelopen tien jaar hebben verschillende ETA's richtsnoeren over ICT-risicobeheer en uitbesteding uitgebracht die door financiële toezichthouders (bv. ECB, DNB) zijn gebruikt om hun toezichtfunctie uit te oefenen. Hierdoor is de aandacht voor een volwassener ICT-risicobeheer in de financiële sector toegenomen. 

De introductie van DORA is een natuurlijk moment om de volwassenheid van uw ICT-risicobeheerpraktijken opnieuw te beoordelen en de hiaten in uw capaciteiten te identificeren om aan DORA-verordening te voldoen. Een inventarisatie van uw huidige ICT-risicopositie zou het uitgangspunt moeten zijn om verbeteringen in uw controles en capaciteiten te consolideren (standaardiseren, elimineren, automatiseren) en uw koers voor de toekomst te bepalen. Zo kunt u als organisatie het ICT-risicobeheer (kosten)effectiever en efficiënter maken en u tegelijkertijd voorbereiden op audits en regelgevingsinspecties die voortvloeien uit DORA.

Voor sommige organisaties in de financiële sector zal DORA een startpunt zijn om de overgang naar het minimaal vereiste volwassenheidsniveau te versnellen en voor andere organisaties zal het een gelegenheid zijn om hun capaciteiten verder te verbeteren zodat ze efficiënter en effectiever uw bedrijf draaiende kunnen houden, zoals we zeiden, bij voor of tegenspoed.

Gerelateerde content

Contact us

Anthony Kruizinga

Anthony Kruizinga

Partner, Risk & Regulation lead, PwC Netherlands

Tel: +31 (0)61 308 76 37

Linkedin Follow Email
Gerwin Naber

Gerwin Naber

Partner, PwC Netherlands

Tel: +31 (0)65 150 75 75

Linkedin Follow Email
Mimoent Haddouti

Mimoent Haddouti

Cybersecurity Partner, PwC Netherlands

Email
Seda Foppen

Seda Foppen

Director, IT Risk & Regulation, PwC Netherlands

Tel: +31 88 792 6612

Email
Job van Ommen

Job van Ommen

Director, PwC Netherlands

Tel: +31 (0)64 201 78 55

Email
Volg ons
Onze diensten Audit & Assurance Consulting Corporate Governance Deals Duurzaamheid Forensic Services Landendesks Legal Business Solutions PwC's Academy Tax Workforce
Thema's Cybersecurity Data analytics De toekomst van werk Transformatie Economic Office Economische veerkracht Future of Finance Risk & regulation Sustainability Waardecreatie
Actueel en publicaties Blogs Inzake Belastingnieuws Aanmelden voor PwC nieuwsbrieven Update uw nieuwsbrief voorkeuren
Marktsectoren
AgriFood Asset & Wealth Management Automotive Banken Bouw Chemie Energie en utilities Entertainment en media Familiebedrijven Financiële sector Investment management Maakindustrie
Pensioenen Pharma & Life Sciences Private Equity Publieke Sector Retail & consumer Start-ups en scale-ups Technologie Telecom Transport en logistiek Vastgoed Verzekeraars Zakelijke dienstverlening
Onze organisatie Raad van Bestuur Raad van Commissarissen Jaarbericht en transparantieverslag Line of Service boards Governance Fiscale strategie PwC Nederland PwC Europe Ons internationale netwerk Purpose en waarden Diversiteit Corporate Sustainability Public & Regulatory Affairs Sponsoring Alumni
Werken bij PwC
Perscentrum
Kantoren
Evenementen
Contact

© 2015 - 2024 PwC. Alle rechten voorbehouden. 'PwC' verwijst naar de juridische entiteiten zoals omschreven in de legal disclaimer. Zie daarvoor onderstaande link.