Wat is DORA?
DORA is een pakket van maatregelen dat digitale innovatie in de financiële sector moet bevorderen, en tegelijkertijd de daaruit voorvloeiende risico’s moet beperken. Het is het eerste wettelijk kader op het gebied van ICT weerbaarheid voor veel soorten organisaties én voor de toezichthouder, waarbij concreet invulling gegeven wordt aan de norm ‘beheerste bedrijfsvoering’ voor dit onderwerp. DORA borduurt voort op al bestaande wettelijke vereisten op het gebied van ICT risk management. In DORA komen alle wettelijke vereisten op dit gebied samen, met als doel meer harmonisatie binnen de EU, toezichthouders en de financiële ondernemingen.
DORA is verdeeld is een vijf inhoudelijke hoofdstukken. Ieder hoofdstuk bevat diverse vereisten waar financiële ondernemingen aan moeten voldoen.
Op wie is DORA van toepassing?
De volgende vraag is natuurlijk of DORA ook van toepassing is op uw onderneming. In art. 2 lid 1 is een lijst opgenomen met de financiële ondernemingen op wie de Verordening van toepassing is. Lid 3 van hetzelfde artikel geeft een opsomming van uitgesloten ondernemingen. Deze lijst is aanzienlijk korter. Wel zijn bijvoorbeeld AIFMD-light beheerders uitgesloten. Ook is DORA niet van toepassing op krediet aanbieders, financiële dienstverleners die adviseren of bemiddelen over krediet, en wettelijke auditors en auditkantoren. Deze laatste categorie was bij de vorige versie van DORA nog wel in scope.
In de tabel hieronder ziet u op welke organisaties DORA wel en niet van toepassing is.
De belangrijkste wijzigingen
Het Europese wetgevingstraject verschilt niet veel van die van Nederland, in die zin dat er compromissen gesloten worden. Zo komt het regelmatig voor dat het eerste voorstel voor nieuwe regelgeving in een aangepaste versie aangenomen wordt. Eind juni is de zogenaamde ‘compromistekst’ van DORA gepubliceerd. Met de compromistekst zijn er een aantal wijzigingen doorgevoerd.
Proportionaliteitsbeginsel
De belangrijkste wijziging is de toevoeging van het proportionaliteitsbeginsel, welke terug te vinden is in art. 3a. Bij het implementeren van de vereisten uit hoofdstuk II (ICT Risicobeheer) mag rekening gehouden worden met de omvang, aard en complexiteit van de organisatie en haar dienstverlening in relatie tot haar totale risicoprofiel. Bij hoofdstuk III (ICT-incidenten beheer), hoofdstuk IV (testen van digitale operationele veerkracht) en afdeling 1 van hoofdstuk V (ICT risico’s derde aanbieders) mag dit ook, maar dan alleen zoals specifiek voorzien is bij die hoofdstukken. Het is aan de toezichthouders om te overwegen of de ondernemingen het proportionaliteitsbeginsel juist hebben toegepast, door het beoordelen van het ICT risicoframework.
Artikel 14a is geheel nieuw en beschrijft een gesimplificeerde benadering voor het ICT risk management framework voor organisaties waar artikelen 4 tot en met 14 niet op toepassing van zijn. Dit zijn onder andere de ‘kleine en niet-verweven beleggingsondernemingen’, zogenaamde categorie 3 beleggingsondernemingen. Zij dienen wel een ICT risicoframework te implementeren waaruit blijkt dat de belangrijkste ICT risico’s beheerst en (op periodieke basis) beoordeeld worden.
Meer tijd voor voorbereiding
Een tweede belangrijke wijziging is het moment waarop ondernemingen moeten voldoen aan de vereisten vanuit DORA. In het eerste voorstel was dit nog 12 maanden na inwerkingtreding, maar dat is nu opgerekt naar 24 maanden. Geen overbodige luxe, gezien de grote impact van DORA.
Daarbij komt nog dat de Europese toezichthouders (ESA’s) nog enkele ‘Regulatory Technical Standards’ moeten ontwikkelen om de markt meer richting te geven over de invulling van bepaalde artikelen. Denk bijvoorbeeld aan standaarden op het gebied van de rapportage over ICT incidenten.
Inhoudelijke wijzigingen
Ten slotte zijn er verschillende inhoudelijke wijzigingen en toevoegingen gemaakt. Een hiervan is de verplichting voor ondernemingen om een Business Impact Assessment uit te voeren als onderdeel van de Business Continuity Policy.
Een tweede inhoudelijke wijziging is dat ICT-incidenten èn cyber bedreigingen nu geclassificeerd en gemeld moeten worden bij de toezichthouder. Voor ICT-gerelateerde incidenten was dit al het geval. Ook hiervoor zullen de ESA’s Technical Standards gaan ontwikkelen.
Inwerkingtreding DORA
Op 17 januari 2025 wordt DORA van toepassing. Dan moeten financiële entiteiten compliant zijn met DORA en de technische reguleringsnormen die nog ontwikkeld worden door de Europese toezichthoudende autoriteiten. Wij adviseren u om nu alvast aan de slag te gaan met de implementatie van DORA. Hoe u dit doet vertellen we u in een vervolgartikel.
Lees ook: 'DORA wordt van toepassing in 2025; rustig afwachten of tijd voor actie?'Meer weten?
De komst van DORA maakt een einde aan de versnippering van wettelijke verplichtingen voor ICT processen en beveiliging. Wij helpen u graag de onderliggende vereisten te begrijpen, en te bepalen welke impact DORA zal hebben op uw organisatie.
De komende maanden zullen we u stap voor stap meer uitleg geven over dit uitgebreide pakket aan maatregelen. Zo zullen we onder andere ingaan op de nog te ontwikkelen Regulatory Technical Standards, de aanpak van Digital Operational Resilience Testing en de invulling van ICT risk management. Wilt u op de hoogte blijven van onze publicaties? Meld u dan aan voor onze maandelijkse nieuwsbrief.
Heeft u vragen over DORA? Neemt dan gerust contact met ons op.
Contact Aanmelden nieuwsbrief