0:00
Artikel
Compliance DORA IT Security

DORA maakt een einde aan de versnippering van wetten op het gebied van IT Compliance

7 min leestijd

Twee jaar geleden werd voor het eerst een voorstel tekst van de ‘Digital Operational Resilience Act’ (DORA) gepubliceerd. De inwerkingtreding van DORA leek toen nog ver weg. Inmiddels begint het wettelijk kader, dat voor meer digitale weerbaarheid moet zorgen bij financiële ondernemingen in Europese lidstaten, duidelijke vormen aan te nemen.

Op 23 juni 2022 is de compromistekst van DORA gepubliceerd. Dit voorstel bevat waarschijnlijk de finale tekst van de Europese wet/Verordening. Hoog tijd dus, om u te gaan verdiepen in DORA en de impact op uw organisatie.

 

Wat is DORA?

DORA is een pakket van maatregelen dat digitale innovatie in de financiële sector moet bevorderen, en tegelijkertijd de daaruit voorvloeiende risico’s moet beperken. Het is het eerste wettelijk kader op het gebied van ICT weerbaarheid voor veel soorten organisaties én voor de toezichthouder, waarbij concreet invulling gegeven wordt aan de norm ‘beheerste bedrijfsvoering’ voor dit onderwerp. DORA borduurt voort op al bestaande wettelijke vereisten op het gebied van ICT risk management. In DORA komen alle wettelijke vereisten op dit gebied samen, met als doel meer harmonisatie binnen de EU, toezichthouders en de financiële ondernemingen.

DORA is verdeeld is een vijf inhoudelijke hoofdstukken. Ieder hoofdstuk bevat diverse vereisten waar financiële ondernemingen aan moeten voldoen.

DORA

Op wie is DORA van toepassing?

De volgende vraag is natuurlijk of DORA ook van toepassing is op uw onderneming. In art. 2 lid 1 is een lijst opgenomen met de financiële ondernemingen op wie de Verordening van toepassing is. Lid 3 van hetzelfde artikel geeft een opsomming van uitgesloten ondernemingen. Deze lijst is aanzienlijk korter. Wel zijn bijvoorbeeld AIFMD-light beheerders uitgesloten. Ook is DORA niet van toepassing op krediet aanbieders, financiële dienstverleners die adviseren of bemiddelen over krediet, en wettelijke auditors en auditkantoren. Deze laatste categorie was bij de vorige versie van DORA nog wel in scope.

 In de tabel hieronder ziet u op welke organisaties DORA wel en niet van toepassing is.

De belangrijkste wijzigingen

Het Europese wetgevingstraject verschilt niet veel van die van Nederland, in die zin dat er compromissen gesloten worden. Zo komt het regelmatig voor dat het eerste voorstel voor nieuwe regelgeving in een aangepaste versie aangenomen wordt. Eind juni is de zogenaamde ‘compromistekst’ van DORA gepubliceerd. Met de compromistekst zijn er een aantal wijzigingen doorgevoerd.

Proportionaliteitsbeginsel

De belangrijkste wijziging is de toevoeging van het proportionaliteitsbeginsel, welke terug te vinden is in art. 3a. Bij het implementeren van de vereisten uit hoofdstuk II (ICT Risicobeheer) mag rekening gehouden worden met de omvang, aard en complexiteit van de organisatie en haar dienstverlening in relatie tot haar totale risicoprofiel. Bij hoofdstuk III (ICT-incidenten beheer), hoofdstuk IV (testen van digitale operationele veerkracht) en afdeling 1 van hoofdstuk V (ICT risico’s derde aanbieders) mag dit ook, maar dan alleen zoals specifiek voorzien is bij die hoofdstukken. Het is aan de toezichthouders om te overwegen of de ondernemingen het proportionaliteitsbeginsel juist hebben toegepast, door het beoordelen van het ICT risicoframework.

Artikel 14a is geheel nieuw en beschrijft een gesimplificeerde benadering voor het ICT risk management framework voor organisaties waar artikelen 4 tot en met 14 niet op toepassing van zijn. Dit zijn onder andere de ‘kleine en niet-verweven beleggingsondernemingen’, zogenaamde categorie 3 beleggingsondernemingen. Zij dienen wel een ICT risicoframework te implementeren waaruit blijkt dat de belangrijkste ICT risico’s beheerst en (op periodieke basis) beoordeeld worden.

Meer tijd voor voorbereiding

Een tweede belangrijke wijziging is het moment waarop ondernemingen moeten voldoen aan de vereisten vanuit DORA. In het eerste voorstel was dit nog 12 maanden na inwerkingtreding, maar dat is nu opgerekt naar 24 maanden. Geen overbodige luxe, gezien de grote impact van DORA.

Daarbij komt nog dat de Europese toezichthouders (ESA’s) nog enkele ‘Regulatory Technical Standards’ moeten ontwikkelen om de markt meer richting te geven over de invulling van bepaalde artikelen. Denk bijvoorbeeld aan standaarden op het gebied van de rapportage over ICT incidenten.

Inhoudelijke wijzigingen

Ten slotte zijn er verschillende inhoudelijke wijzigingen en toevoegingen gemaakt. Een hiervan is de verplichting voor ondernemingen om een Business Impact Assessment uit te voeren als onderdeel van de Business Continuity Policy.

Een tweede inhoudelijke wijziging is dat ICT-incidenten èn cyber bedreigingen nu geclassificeerd en gemeld moeten worden bij de toezichthouder. Voor ICT-gerelateerde incidenten was dit al het geval. Ook hiervoor zullen de ESA’s Technical Standards gaan ontwikkelen.

Inwerkingtreding DORA

Wanneer financiële ondernemingen aan de slag moeten met de implementatie van DORA is nog niet met zekerheid te zeggen. Op 11 mei 2022 hebben het Europees Parlement en de Raad een voorlopig akkoord bereikt over DORA. Samen hebben zij een aantal wijzigingen gemaakt in het voorstel van de Europese Commissie. Het voorlopige akkoord moet de formele goedkeuringsprocedure nog doorlopen.

De verwachting is dat DORA eind 2022 in werking zal treden. Na de inwerkingtreding hebben financiële ondernemingen nog 24 maanden om aan de vereisten te voldoen. Uiteraard zullen wij u hierover op de hoogte houden via onze nieuwsbrief.

Aanmelden nieuwsbrief

Meer weten?

De komst van DORA maakt een einde aan de versnippering van wettelijke verplichtingen voor ICT processen en beveiliging. Wij helpen u graag de onderliggende vereisten te begrijpen, en te bepalen welke impact DORA zal hebben op uw organisatie.

De komende maanden zullen we u stap voor stap meer uitleg geven over dit uitgebreide pakket aan maatregelen. Zo zullen we onder andere ingaan op de nog te ontwikkelen Regulatory Technical Standards, de aanpak van Digital Operational Resilience Testing en de invulling van ICT risk management voor kleine organisaties.

Heeft u vragen over DORA? Neemt dan gerust contact met ons op.

Contact