Voorbereiding op DORA, de EU-verordening inzake operationele weerbaarheid

Misschien wist u het al: kort geleden heeft de EU een verordening aangenomen inzake digitale operationele weerbaarheid van financiële dienstverleners. De naam van deze verordening is DORA (Digital Operational Resilience Act). Maar welke maatregelen moet uw organisatie nemen om aan deze wetgeving te voldoen?

De Europese Unie (EU) heeft de meest recente wetgeving inzake operationele weerbaarheid, DORA, formeel aangenomen. Op grond van deze wetgeving gelden er aanvullende meldingsvereisten voor financiële instellingen en hun kritieke leveranciers.

De partijen waarop de wetgeving van toepassing is, hebben tot 17 januari 2025 de tijd om ervoor te zorgen dat ze aan alle voorschriften voldoen. Organisaties moeten dus nu in actie komen om zich te beschermen tegen de voortdurend veranderende risico's.

DORA is een aanvulling op bestaande institutionele vereisten die de EU heeft ingevoerd naar aanleiding van de digitale transformatie die momenteel in alle markten plaatsvindt, en de nieuwe risico's die hiermee samenhangen.

Met de verordening wordt beoogd een reeks uniforme vereisten vast te stellen voor de operationele weerbaarheid van praktisch alle financiële entiteiten die in de EU actief zijn. Deze vereisten gelden ook voor kritieke derden die door aanbieders van financiële diensten worden ingeschakeld voor het leveren van ICT-diensten (informatie- en communicatietechnologie) zoals cloudplatforms, professionele diensten of gegevensanalyse.

Verder verplicht DORA alle deelnemers aan het financiële stelsel om te doen wat nodig is om de impact te beperken van aanvallen en andere risico's, zoals falen van een leverancier, verslechtering van de service en concentratierisico.

DORA heeft gevolgen voor 20 verschillende soorten financiële dienstverleners, ongeacht hun grootte, waaronder:

Het toepassingsgebied van DORA is veel breder dan dat van eerdere wetgeving. De verordening heeft gevolgen voor alle financiële instellingen en kritieke leveranciers die actief zijn op of toegang hebben tot de EU-markt.

In aanvulling op de bovengenoemde financiële dienstverleners kunnen de Europese toezichthoudende autoriteiten (ETA's) – de entiteiten die verantwoordelijk zijn voor het toezicht op de financiële markten van de EU – kritieke externe ICT-dienstverleners aanwijzen. Dat kan op grond van criteria als duurzaamheid en de potentiële systemische effecten die zij kunnen veroorzaken in het geval van grootschalig operationeel falen.

DORA is EU wetgeving en is dus niet in alle gevallen direct van toepassing op Britse organisaties. Maar omdat veel bedrijven in het VK zakendoen met de EU, kan DORA toch gevolgen voor hen hebben. Zelfs als u vanuit het VK diensten verleent aan financiële instellingen in de EU, kunt u binnen het toepassingsgebied van DORA vallen.

DORA verplicht alle financiële instellingen die op EU-niveau worden gereguleerd, te waarborgen dat zij alle ICT-gerelateerde verstoringen en bedreigingen het hoofd kunnen bieden. Dit houdt in dat ze maatregelen moeten treffen op vijf kerngebieden:

Met Fox-IT kunt u eenvoudiger aan alle voorschriften voldoen. We bieden unieke 360° readiness assessments om grote en kleine financiële dienstverleners te helpen zich voor te bereiden op DORA. Bovendien zijn we de enige aanbieder die alle noodzakelijke diensten in zijn portefeuille heeft.

Onze DORA-gereedheidsevaluatie is bedoeld om financiële instellingen en kritieke derde partijen te helpen met de DORA-compliance. Een team met experts uit uiteenlopende disciplines, zoals incidentrespons, bedrijfscontinuïteitsplanning en herstel na een calamiteit, software escrow (Escode) en Managed Services, slaan de handen ineen om organisaties inzicht te bieden in eventuele hiaten in hun governanceprocedures en -processen voor de hierboven beschreven vijf verplichte stappen van de DORA-wetgeving.