0:00
Artikel
Compliance DORA IT Security

DORA wordt van toepassing in 2025; rustig afwachten of tijd voor actie?

6 min leestijd

In augustus 2022 schreven we al over DORA (Digital Operational Resilience Act); de wet die een einde moet maken aan de versnippering van wetgeving op het gebied van IT Compliance. Inmiddels zijn we alweer een stap verder, want op 28 november 2022 heeft de Raad van Europa DORA aangenomen.

Op 17 januari 2025 wordt DORA van toepassing. Dan moeten financiële entiteiten compliant zijn met DORA en de technische reguleringsnormen die nog ontwikkeld worden door de Europese toezichthoudende autoriteiten (ETA’s). Hoewel de inwerkingtreding dus nog even op zich laat wachten, raden wij u aan om nu alvast met DORA aan de slag te gaan. In dit artikel geven wij u meer inzicht in deze tijdlijn en bieden wij handvatten om uw mate van compliance met DORA te beoordelen.

Wetgevingstraject

Het oorspronkelijke voorstel van de Commissie dateert al van 24 september 2020. Na adviezen van de European Central Bank, European Data Protection Board en European Cyber Security Challenge, keurde de Raad het onderhandelingsmandaat goed op 24 november 2021. Vervolgens is er door het Europees Parlement en de Raad geschaafd aan het voorstel. In ons vorige artikel gingen we in op de grootste wijzigingen die werden doorgevoerd met de komst van de compromistekst.

Met de goedkeuring van 28 november 2022 door de Raad is het wetgevingsproces nu afgerond. Vanwege de complexiteit is de standaard implementatieperiode van 12 maanden opgerekt tot 24 maanden. Dat betekent dat DORA vanaf 17 januari 2025 van toepassing is.

Lees ook: 'DORA maakt een einde aan de versnippering van wetten op het gebied van IT Compliance'

Verdere invulling door middel van RTS

Nu de wet is goedgekeurd kunnen de betrokken ETA’s – zoals EBA, ESMA en Eiopa – technische reguleringsnormen ontwikkelen, beter bekend als Regulatory Technical Standards (RTS). Deze geven verdere invulling en details op bepaalde punten van de wet en schrijven het gebruik van bepaalde standaarden of formats voor.

De tabel hieronder geeft een overzicht van de RTS’en die nog ontwikkeld moeten worden en wanneer deze gereed zijn.

DORA artikelen overzicht

Wat kunt u nu al doen?

Uit de tabel hierboven blijkt dat veel details nog onbekend zijn. Bovendien klinkt 2025 nog ver weg. Toch adviseren wij om nu alvast aan de slag te gaan met de implementatie van concrete vereisten vanuit DORA, bijvoorbeeld door uw interne processen en gevraagde controls compliant te maken.

DORA is een complex wettelijk kader dat veel verschillende onderwerpen en vereisten bevat; van IT Risicomanagement tot contract- en SLA-management. Daarnaast bevat DORA een evenredigheidsbeginsel. Dit houdt in dat de beschreven vereisten geïmplementeerd moeten worden op een wijze die past bij de omvang, het algehele risicoprofiel en de aard, schaal en complexiteit van de organisatie.

Wij adviseren om de implementatie van DORA projectmatig aan te pakken en op te splitsen in meerdere stappen, te starten bij een identificatie van de personen die verantwoordelijk en/of betrokken zijn bij de onderwerpen uit DORA. Wie binnen de organisatie is verantwoordelijk voor ICT Risicobeheer (art. 5)? Wie zouden er betrokken moeten zijn bij het bepalen van de impact van DORA op de organisatie bij dit onderwerp? Door deze vragen als eerste te beantwoorden worden direct de stakeholders en betrokkenen geïdentificeerd voor het (mogelijke) verandertraject.

Vervolgens moet uit een analyse van artikel 6 blijken wat qua ICT Risk Management framework van toepassing is. Als dat eenmaal bekend is, kunt u gaan vaststellen welke ‘gaps’ aanwezig zijn tussen DORA en de huidige inrichting van de organisatie. Technisch gezien heeft u 24 maanden de tijd om deze implementeren, maar vergeet niet: de RTS’en moeten ook nog binnen de bestaande processen en procedures opgenomen worden. In totaal komen we dan uit op vier stappen:

  1. Bepaal binnen uw organisatie wie verantwoordelijk is en betrokken moet zijn.
  2. Analyseer per specifiek onderwerp en DORA artikel wat voor uw organisatie van toepassing is en in welke mate.
  3. Bepaal welke processen en controls uw organisatie al ingeregeld heeft en implementeer wat nog nodig is om te voldoen aan de vereisten uit DORA.
  4. Neem de de voorgeschreven templates en andere vereisten uit de technische reguleringsnormen(RTS-en) over en maak ze onderdeel van de processen en procedures.

Schematisch gezien zien de stappen die u kunt nemen voordat DORA van toepassing wordt, er zo uit:

Dora implementation steps

De inhoud: een voorproefje

DORA is opgedeeld in een aantal hoofdstukken. De komende maanden zullen we aan de hand van een aantal artikelen de onderwerpen in meer detail bespreken en uitleg geven over de belangrijkste bepalingen.

DORA kent de volgende hoofdstukindeling die van toepassing zijn voor financiële entiteiten die onder DORA gaan vallen:

  • Hoofdstuk II (art. 5 – 16): ICT Risicobeheer
  • Hoofdstuk III (art 17 – 23): Beheer, classificatie en rapportage van ICT-gerelateerde incidenten
  • Hoofdstuk IV (art. 24 – 27): Testen van digitale operationele weerbaarheid
  • Hoofdstuk V (art. 28 – 30): Beheer van ICT-risico van derde aanbieders

 

In afwachting van ons volgende artikel kunt u alvast aan de slag gaan met het ‘identificeren’, door in kaart te brengen wie er binnen uw organisatie verantwoordelijk of betrokken zijn bij:

  • Het ICT risicobeheer en ICT risicoframework;
  • Het ICT incidenten proces;
  • De beschikbaarheid en continuïteit van de applicaties en systemen; en
  • Contractmanagement en beheersing van de IT-uitbestedingsrisico’s.

Dit zullen namelijk ook de personen zijn die input zullen moeten leveren voor stap 2.

Meer weten?

Wij houden u graag op de hoogte van nieuwe publicaties over DORA via onze nieuwsbrief. Heeft u vragen over DORA en wat de impact is voor u? Neem dan gerust contact met ons op.

Contact Aanmelden voor de nieuwsbrief