De Digital Operational Resilience Act (DORA) heeft tot doel de ICT-risicovoorschriften te versterken en harmoniseren in de gehele financiële sector van de EU en een gestroomlijnd kader voor digitale operationele weerbaarheid tot stand te brengen.
Tegelijk met DORA is de richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) gepubliceerd. Deze richtlijn heeft een vergelijkbaar doel, namelijk de weerbaarheid van de EU-infrastructuur verbeteren. Ook financiële instellingen vallen onder NIS2, maar waar DORA specifieker is, heeft DORA voorrang. De wetgeving is gericht op het waarborgen en handhaven van een robuuste financiële sector omdat deze van vitaal belang is in ons dagelijks leven. Wij zijn hier als consumenten van afhankelijk, en vele waardeketens kunnen niet functioneren zonder financiële infrastructuur.
De focus van de wetgever is dus om dit hele ecosysteem draaiende te houden. Dit kan gemakkelijk in lijn worden gebracht met de doelstelling van de individuele organisaties, aangezien ook zij de integriteit van hun bedrijf willen handhaven. Niet alleen vanwege de rol die zij in het ecosysteem spelen, maar ook ten behoeve van hun eigen continuïteit.
Het gevolg is dat DORA vereisten al herkenbaar zijn, omdat deze idealiter al deel uitmaken van de bestaande IT & technology risk management instrumenten. Daarom is dit is een goed moment om uw ICT-risicobeheerpraktijken opnieuw te evalueren en ervoor te zorgen dat ze niet alleen voldoen aan de vereisten maar ook bijdragen aan de bedrijfscontinuïteit, in voor en tegenspoed.
De verordening is uniek door de invoering van een holistisch wetgevingskader voor de hele EU. Het omvat ICT-risicobeheer, operationele ICT- en cyberbeveiligingscapaciteiten en het beheer van derden om een consistente levering van ICT-diensten in de hele waardeketen te waarborgen.
Het toezicht wordt uitgeoefend door de Europese toezichthoudende autoriteiten (ETA's). De ETA's zullen de rol op zich nemen van toezichthouder op financiële instellingen en derde aanbieders van ICT-diensten. Dit betekent dat derde aanbieders die essentiële diensten aan financiële instellingen leveren rechtstreeks onder Europees toezicht vallen, en indirect, via eisen die aan financiële instellingen worden gesteld om naar behoren risicobeperkende maatregelen bij hun dienstverleners voor te schrijven en te controleren.
DORA zal meer dan 22.000 financiële entiteiten die in de EU actief zijn onder het toepassingsgebied brengen: traditionele entiteiten uit de financiële sector zoals beurzen en clearinginstellingen, kredietinstellingen, beleggingsondernemingen, beheerders van alternatieve beleggingsfondsen en verzekeraars, Alsmede aanbieders van crypto-activa, datarapporteringsdiensten, clouddiensten en ICT-dienstverleners.
Hoewel de DORA voortbouwt op vertrouwde praktijken op het gebied van informatierisicobeheer, zij het minder holistisch in eerdere regelgeving voor banken en verzekeraars, zullen de vereisten nieuw zijn voor andere marktdeelnemers die onder de regelgeving vallen. Het belangrijkste verschil tussen DORA en eerdere verordeningen is echter de breedte en diepte van de vereisten die de verordening zal invoeren om ervoor te zorgen dat het ecosysteem geen zwakke schakels heeft en individuele instellingen een holistische aanpak hanteren. De verordening zal specifieke en prescriptieve vereisten invoeren, niet alleen voor financiële entiteiten, maar voor alle marktdeelnemers die in de EU actief zijn en kritische diensten aan de financiële entiteiten verlenen, met inbegrip van externe dienstverleners.
Inzicht krijgen in de mate waarin uw organisatie voldoet aan DORA-eisen en de (aankomende) technische standaarden is natuurlijk essentieel voor de ontwikkeling van uw DORA-compliance roadmap. Hieronder geven wij op basis van onze ervaring een overzicht van de belangrijkste elementen voor bedrijven in de financiële sector in hun reis om te voldoen aan DORA.
In lijn met de regelgevingsagenda's van zowel DNB als ECB, voorzien wij als grootste uitdaging het proces van het inbedden van ICT-risico's van derden als integraal onderdeel van het ICT-risicobeheer van uw organisaties. Het overzien en beheren van de ICT-risico's voor de volledige keten van derden met voldoende diepgang, en het op de juiste manier reageren op de risico's die voortvloeien uit derden (of hun derden) zal een grote onderneming zijn. Een belangrijke uitdaging is het tijdig verkrijgen van de relevante informatie van de keten van derden. Dit zal nodig zijn om risico's te identificeren en die bevindingen op te nemen als integraal onderdeel van uw risicobeheer. Zonder dit wordt uw vermogen om de juiste beslissingen te nemen belemmerd.
Een nauw verwante uitdaging is ervoor zorgen dat uw organisatie volledig inzicht heeft in welke (bedrijfs)diensten afhankelijk zijn van welke (bedrijfs)processen, ondersteund door welke systemen en welke gegevens deze verwerken. Zodra dat beeld compleet is, en uw organisatie begrijpt van welke processen en systemen u afhankelijk bent bij welke leverancier, zou u een vrij goed idee moeten hebben waar uw risico's zich bevinden, hoe deze worden beperkt en of deze zijn geconcentreerd bij bepaalde derde partijen.
Aangezien DORA het toezicht van de toezichthouder uitbreidt tot deze derde aanbieders van ICT-diensten verwachten wij dat de maturiteit van deze derden op den duur op natuurlijke wijze zal toenemen.
Hieronder vindt u de belangrijkste elementen waarop u zich moet concentreren:
In de afgelopen tien jaar hebben verschillende ETA's richtsnoeren over ICT-risicobeheer en uitbesteding uitgebracht die door financiële toezichthouders (bv. ECB, DNB) zijn gebruikt om hun toezichtfunctie uit te oefenen. Hierdoor is de aandacht voor een volwassener ICT-risicobeheer in de financiële sector toegenomen.
De introductie van DORA is een natuurlijk moment om de volwassenheid van uw ICT-risicobeheerpraktijken opnieuw te beoordelen en de hiaten in uw capaciteiten te identificeren om aan DORA-verordening te voldoen. Een inventarisatie van uw huidige ICT-risicopositie zou het uitgangspunt moeten zijn om verbeteringen in uw controles en capaciteiten te consolideren (standaardiseren, elimineren, automatiseren) en uw koers voor de toekomst te bepalen. Zo kunt u als organisatie het ICT-risicobeheer (kosten)effectiever en efficiënter maken en u tegelijkertijd voorbereiden op audits en regelgevingsinspecties die voortvloeien uit DORA.
Voor sommige organisaties in de financiële sector zal DORA een startpunt zijn om de overgang naar het minimaal vereiste volwassenheidsniveau te versnellen en voor andere organisaties zal het een gelegenheid zijn om hun capaciteiten verder te verbeteren zodat ze efficiënter en effectiever uw bedrijf draaiende kunnen houden, zoals we zeiden, bij voor of tegenspoed.