DORA: Europese wetgeving voor financiele instellingen stelt ook eisen aan ICT dienstverleners
Er komt nieuwe wetgeving aan die de cyberweerbaarheid van financiele instellingen in de Europese Unie, EU, verder moet versterken: de Digital Operational Resilience Act, oftewel DORA. Deze wetgeving is samen met initiatieven zoals de Cyber Resilience Act, CRA, en de Network and Information Security Directive, NIS2, erop gericht om organisaties te dwingen meer aantoonbare controle op het gebied van cybersecurity uit te oefenen. DORA treedt op 17 januari 2025 in werking en bedrijven die hieronder vallen, spoiler: niet alleen financiele instellingen, doen er verstandig aan om nu al actie te ondernemen.
Met nog minder dan een jaar te gaan voor de implementatie deadline van DORA, hebben financiele instellingen, die doorgaans al aan veel security wetgeving moeten voldoen, extra huiswerk. Halverwege dit jaar wordt de tweede versie van DORA gepubliceerd en wordt er meer bekend over de exacte eisen. Financiele instellingen en andere betrokken partijen doen er verstandig aan om dit nauwlettend te volgen, zodat ze zich kunnen voorbereiden op naleving.
Niet alleen voor banken
De impact van DORA reikt ver en raakt een breed scala aan organisaties binnen de financiele sector. Niet alleen traditionele banken, verzekeringsmaatschappijen, pensioen en investeringsfondsen vallen namelijk onder de regelgeving, maar ook opkomende spelers zoals crypto exchanges en crowdfunding dienstverleners. Daarnaast moeten ook derde partijen die diensten leveren aan financiele instellingen voldoen aan voorschriften onder DORA. Denk hierbij aan IT dienstverleners, SAAS providers en applicatie ontwikkelaars. Deze bedrijven dienen aantoonbaar te voldoen aan eisen, waaronder het hebben en actief onderhouden van beveiligingsbeleid, het up to date houden van de security van systemen, en het in kaart hebben van hun IT, applicatie en datalandschap.
Daarnaast moeten zij de effectiviteit van hun security periodiek, laten, testen. Grote financiele instellingen zoals grote banken, grote verzekeraars en institutionele beleggers zoals pensioenfondsen zijn al gewend om zowel intern als extern verantwoording af te leggen over beveiligingskwesties. Ze moeten waarschijnlijk vooral hun rapportageprocedures aanpassen. Bovendien zullen deze instellingen, gezien het boetebeding, meer verplichting voelen om te voldoen aan de nieuwe wetgevingseisen. Voor middelgrote en kleinere financiele instellingen wordt verwacht dat zij een inhaalslag zullen moeten maken om duidelijk aan te tonen dat zij aan de vereisten van DORA voldoen.
Belangrijkste eisen en veranderingen onder DORA
Een belangrijke eis onder DORA is de implementatie van een risicoraamwerk. Dit raamwerk moet duidelijkheid geven over de securityrisico s waaraan de organisatie wordt blootgesteld en welke passende maatregelen worden genomen.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Waar en wanneer mag je vliegen met een drone in Nederland? | Verder lezen | |
Kwart cybersecurity incidenten bij Europese mkb ers door zwakke wachtwoorden | Verder lezen | |
Impact van generative AI op cybersecurity landschap groeit | Verder lezen | |
Politie luidt noodklok over encryptie op digitale platforms in Nederland | Verder lezen | |
Voorwaarden burgers en zorgverleners bij delen gegevens | Verder lezen | |
Tot 10 miljoen boete voor onaangepaste cyberbeveiliging | Verder lezen | |
Hoe AI de SOC expert te hulp schiet | Verder lezen | |
Kinderporno opsporen met detectiesoftware op mobiel: experts tegen EU wetsvoorstel | Verder lezen | |
Zoom scherpt privacybeleid voor Europese gebruikers verder aan als resultaat van samenwerking met SURF | Verder lezen | |
Applicatiebeveiliging in Nederland schiet flink tekort | Verder lezen |