Digital Operational Resilience Act (DORA)

Sinds 17 januari 2025 is DORA van kracht. Dat betekent dat financiële instellingen aantoonbaar kunnen maken dat zij voldoen aan de vereisten uit de DORA. Nu beleid en procedures zijn ingericht en aangepast, resteert de vraag: hoe kan ik blijven voldoen aan DORA?

Doelstelling van DORA

Het doel van de DORA is de cybersecurity en operationele veerkracht van alle gereguleerde Europese financiële instellingen, en kritische derde partijen die deze instellingen voorzien van ICT-gerelateerde diensten, te verbeteren. De DORA ziet ook toe op kritische IT-dienstverleners en plaatst hen ook onder toezicht van de Europese toezichthouders.

Met de komst van de DORA vindt er op Europees niveau harmonisatie plaats van de regels inzake digitale operationele weerbaarheid en IT-beveiliging. Digitale operationele weerbaarheid is cruciaal voor de financiële stabiliteit en marktintegriteit in het digitale tijdperk. Met de implementatie van de DORA kunnen cyberaanvallen niet voorkomen worden. Wel worden organisaties weerbaarder tegen cyberdreigingen én weten ze hoe te acteren in het geval zich een cyberdreiging voordoet. De DORA gaat daarbij specifiek in op de beheersing van risico’s rondom uitbesteding.

DORA kent het proportionaliteitsbeginsel en biedt daarmee de mogelijkheid om de aard en diepgang van te treffen beheersingsmaatregelen af te stemmen op de betreffende financiële instelling.

Instellingen binnen de scope kunnen de mate van implementatie van bepaalde vereisten bepalen op basis van hun risicoprofiel. Overwegingen kunnen bijvoorbeeld zijn om niet alle individuele beveiligingsbeleidsregels en procedures te creëren die door RTS worden voorgeschreven, maar de belangrijkste vereisten samen te vatten in een overkoepelend beveiligingsbeleid.

Wanneer u zich beroept op proportionaliteit om af te wijken van bepaalde vereisten is het essentieel om de reden en de mogelijke implicaties van de afwijking te documenteren en deze te laten goedkeuren door het managementorgaan.

3. Voldoen aan DORA: Hoe nu verder!

Mocht uw organisatie pas recent gestart zijn met de implementatie van de DORA, onze experts ondersteunen u graag!

1. We adviseren een gefaseerde aanpak voor uw DORA (compliance) programma om zo te kunnen voldoen aan de vereisten vanuit de DORA. Daarna dient verder ingezet te worden op de (doorlopende) uitvoering van de DORA-vereisten:
2. Periodiek evalueren van de relevante beleidsdocumenten;
3. Opleiding bestuur en uitvoering bewustmakingsprogramma’s;
4. Testen van de digitale weerbaarheid en passende opvolging van de resultaten;
5. Testen van de ICT-continuïteitsmaatregelen, waaronder back-ups;
6. Monitoren van het voldoen aan de (informatiebeveiligings)vereisten bij de ICT-dienstverleners;
7. Uitvoeren van interne audits op het kader van ICT-risicobeheer, ICT continuïteit respons- en herstelplannen, en het risicobeheer bij/door ICT-dienstverleners.

DORA-checklist voor bestuurders

Artikel 5 van de Digital Operational Resilience Act (DORA) beschrijft de governance en organisatorische verantwoordelijkheden van het bestuur en het management (leidinggevend orgaan). In deze checklist leest u precies waar het bestuur verantwoordelijk voor is.

Download checklist

Stappen naar DORA compliance

Bepaal in welke mate DORA van toepassing is voor uw organisatie; bepaal nieuwe eisen ten opzichte van huidige wet- en regelgeving & good practices.

Breng de huidige mate van DORA compliance in kaart onder behoud van level 1 (DORA) en level 2 wetgeving (RTS/ITS).

Stel een actieplan op en prioriteer de acties die invulling geven aan de DORA specifieke eisen voor uw organisatie.

Projectmanagement en uitvoeren van het DORA actieplan, bijvoorbeeld het opstellen, aanpassen en implementeren van beleidsstukken en procedures, het uitvoeren van security testen, het opstellen van het informatieregister, en het uitvoeren van risicobeoordelingen op IT-leveranciers.

Bepaal in welke mate DORA van toepassing is voor uw organisatie; bepaal nieuwe eisen ten opzichte van huidige wet- en regelgeving & good practices.