Ken jij DORA al?

Het toepassingsgebied van DORA

 

DORA is van toepassing op een breed scala aan entiteiten binnen de financiële sector, waaronder:

• Banken, kredietinstellingen
• Elektronische geldinstellingen (EMI)
• Verzekeringsmaatschappijen, verzekeringsondernemingen, verzekeringstussenpersonen, herverzekeringen
• Beleggingsondernemingen, beheermaatschappijen, ratingbureaus
• Kritieke ICT-leveranciers voor de financiële sector
• Aanbieders van rekeninginformatie, crypto-activa, gegevensrapportage, crowdfunding,...
• Handelsplatformen

 

De 6 pijlers van DORA

 

DORA richt zich op zes pijlers: 

1) ICT-governance 

2) ICT-risicomanagement

3) ICT-incidentmanagement

4) Digitale weerbaarheidstesten

5) Derde partijen -  risicomanagement 

6) Delen van informatie, opleiding en bewustwording.

 

Belangrijkste verplichtingen van DORA onder de loep genomen

 

1. Governance en beheer van ICT-risico’s

Financiële instellingen moeten een robuust governancekader hebben voor het beheer van ICT-risico’s. Dit omvat duidelijke rollen en verantwoordelijkheden binnen de organisatie en de integratie van ICT-risicobeheer in de bredere risicomanagementstrategie. 

In dit kader voor risicobeheer moeten uitdrukkelijk de risico’s die gepaard gaan met het beroep doen op ICT – dienstverleners worden opgenomen.

 

2. ICT-risicobeoordeling en beheersmaatregelen

Instellingen moeten regelmatig ICT-risicobeoordelingen uitvoeren en passende beheersmaatregelen implementeren om geïdentificeerde risico’s te mitigeren.

 

3. Incidentbeheer

DORA verplicht instellingen om procedures te hebben voor het beheer van ICT-incidenten, inclusief detectie, reactie, herstel en communicatie. Significante incidenten moeten tijdig worden gerapporteerd aan de relevante toezichthouders.

 

4. Testen van digitale operationele veerkracht

Regelmatige tests en audits van de ICT-systemen moeten worden uitgevoerd om de weerbaarheid tegen cyberaanvallen en andere verstoringen te waarborgen. Deze tests kunnen onder meer penetratietests, scenario-analyse en business continuity tests omvatten.

 

5. Toezicht op ICT-dienstverleners

Financiële instellingen moeten streng toezicht houden op hun ICT-dienstverleners. Dit omvat due diligence voor contractering, continue monitoring van prestaties en risico’s, en het zorgen voor naleving van DORA-vereisten door de dienstverleners.

 

6. Opleiding en bewustwording

Medewerkers moeten regelmatig worden getraind en bewust gemaakt van de ICT-risico’s en het belang van digitale operationele weerbaarheid. Dit omvat ook het opstellen van noodplannen en het oefenen van incidentresponsprocedures.

Rapportage en transparantie

Onder DORA moeten financiële instellingen gedetailleerde rapportages indienen over hun ICT-risicobeheerpraktijken en incidenten. Deze rapportages helpen toezichthouders om een beter inzicht te krijgen in de weerbaarheid van de sector en gerichte maatregelen te nemen om de stabiliteit te verbeteren.

 

Impact van DORA op jouw contracten met ICT-dienstverleners

Heel wat contracten tussen financiële instellingen en IT-dienstverleners zullen moeten heronderhandeld worden. Er zullen eveneens nieuwe contracten moeten worden afgesloten die rekening houden met DORA. Denk hierbij onder meer aan Service Level Agreements (SLA), SAAS contracten, Cloudcontracten,... 

 

Wat is de link tussen DORA en NIS2?

NIS2 legt de nadruk op het beschermen van essentiële diensten en kritieke infrastructuren tegen cyberdreigingen. Terwijl DORA specifiek gericht is op de financiële sector en het versterken van de digitale veerkracht, heeft NIS2 een bredere reikwijdte.

DORA is aanvullende regelgeving die bovenop NIS2 komt. Financiële entiteiten en hun IT-dienstverleners zullen zich dus aan NIS2, als lex generalis, en DORA, als lex specialis, moeten conformeren.

 

Belgische toezichthouders 

Zowel de Nationale Bank van België (NBB) als de Autoriteit voor Financiële Diensten en Markten (FSMA) houden in België toezicht op de implementatie van DORA.  

 

De tijd dringt ... Is jouw onderneming klaar voor DORA?

De deadline om volledig te voldoen aan de DORA-wetgeving is 17 januari 2025. 

Het niet voldoen aan de deadline is niet zonder risico!  Organisaties die er niet in slagen om de deadline te halen, kunnen pittige sancties tegemoet zien. Van boetes en het opschorten van onderdelen van de dienstverlening tot zelfs het intrekken van vergunningen.