Er komt nieuwe wetgeving aan die de cyberweerbaarheid van financiele instellingen in de Europese Unie, EU, verder moet versterken: de Digital Operational Resilience Act, oftewel DORA. Deze wetgeving is samen met initiatieven zoals de Cyber Resilience Act, CRA, en de Network and Information Security Directive, NIS2, erop gericht om organisaties te dwingen meer aantoonbare controle op het gebied van cybersecurity uit te oefenen. DORA treedt op 17 januari 2025 in werking en bedrijven die hieronder vallen, spoiler: niet alleen financiele instellingen, doen er verstandig aan om nu al actie te ondernemen.

Met nog minder dan een jaar te gaan voor de implementatie deadline van DORA, hebben financiele instellingen, die doorgaans al aan veel security wetgeving moeten voldoen, extra huiswerk. Halverwege dit jaar wordt de tweede versie van DORA gepubliceerd en wordt er meer bekend over de exacte eisen. Financiele instellingen en andere betrokken partijen doen er verstandig aan om dit nauwlettend te volgen, zodat ze zich kunnen voorbereiden op naleving.

Niet alleen voor banken

De impact van DORA reikt ver en raakt een breed scala aan organisaties binnen de financiele sector. Niet alleen traditionele banken, verzekeringsmaatschappijen, pensioen en investeringsfondsen vallen namelijk onder de regelgeving, maar ook opkomende spelers zoals crypto exchanges en crowdfunding dienstverleners. Daarnaast moeten ook derde partijen die diensten leveren aan financiele instellingen voldoen aan voorschriften onder DORA. Denk hierbij aan IT dienstverleners, SAAS providers en applicatie ontwikkelaars. Deze bedrijven dienen aantoonbaar te voldoen aan eisen, waaronder het hebben en actief onderhouden van beveiligingsbeleid, het up to date houden van de security van systemen, en het in kaart hebben van hun IT, applicatie en datalandschap.

Daarnaast moeten zij de effectiviteit van hun security periodiek, laten, testen. Grote financiele instellingen zoals grote banken, grote verzekeraars en institutionele beleggers zoals pensioenfondsen zijn al gewend om zowel intern als extern verantwoording af te leggen over beveiligingskwesties. Ze moeten waarschijnlijk vooral hun rapportageprocedures aanpassen. Bovendien zullen deze instellingen, gezien het boetebeding, meer verplichting voelen om te voldoen aan de nieuwe wetgevingseisen. Voor middelgrote en kleinere financiele instellingen wordt verwacht dat zij een inhaalslag zullen moeten maken om duidelijk aan te tonen dat zij aan de vereisten van DORA voldoen.

Belangrijkste eisen en veranderingen onder DORA

Een belangrijke eis onder DORA is de implementatie van een risicoraamwerk. Dit raamwerk moet duidelijkheid geven over de securityrisico s waaraan de organisatie wordt blootgesteld en welke passende maatregelen worden genomen.

Deze versturen we 3-4x per jaar.