De Digital Operational Resilience Act (DORA) is in werking getreden op 17 januari 2025. Deze EU-verordening harmoniseert de eisen voor ICT-risicobeheer binnen de financiële sector, met als doel de digitale weerbaarheid te vergroten. De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) zien toe op de naleving van DORA en kunnen handhavend optreden. Met de komst van DORA vervalt de DNB Good Practice Informatiebeveiliging 2023 (DNB GP IB) als primair toezichtskader, aangezien de vereisten in de DORA leidend zijn voor het toezicht. De AFM heeft geen update gegeven over haar ‘Principes voor Informatiebeveiliging’ (2019); alhoewel ook door hen is aangegeven dat de wettelijke vereisten leidend zijn.
Bij BDO hebben wij meerdere klanten ondersteund in de voorbereiding en implementatie van de DORA-verordening, zowel adviserend als toetsend (1e, 2e en 3e lijn). We zien dat de implementatie vanuit proportionaliteit belangrijk is, maar ook complex door de vele regels. De DORA is overwegend regel-gebaseerd. Rekening houden met de omvang, het risicoprofiel, de aard, schaal en complexiteit van de operatie, is cruciaal. Zo is het aantal ICT-dienstverleners dat wel of niet een kritieke of belangrijke functie ondersteund zeer bepalend voor complexiteit. Wij zien dat organisaties wisselend om gaan met de vereisten en de proportionaliteit in de implementatie: sommige instellingen zijn uitgebreid in de uitwerkingen van beleid, plannen en registers, waarbij andere organisaties een en ander afstemmen op hun risicoprofiel en daarin duidelijke risicogebaseerde keuzes maken.
De financiële sector is actief bezig met de DORA. Beleidsaanpassingen zijn veelal gedaan, maar het informatieregister en inzicht in afhankelijkheden en uitbestedingsketens van ICT-dienstverleners, zijn nog onderhanden. Daarnaast zijn veel instellingen nog bezig met het afsluiten van (aangepaste) contracten met ICT-dienstverleners, inclusief afspraken over informatiebeveiliging, continuïteit, testen, monitoring, en de exit-plannen.
Meerdere instellingen hebben al een toezichtskalender ontvangen. Een van de eerste concrete stappen is de aanlevering van het informatieregister uiterlijk op 23 april 2025. Dit register moet eind april worden ingediend bij de Europese toezichthouder via de AFM of DNB. De DNB heeft een alternatieve aanlevermethode beschikbaar gesteld ter ondersteuning van de aanlevering, die standaard in het xBRL-CSV formaat dient te gebeuren. Een mogelijke herrapportage dient uiterlijk 28 mei aan de DNB te worden aangeleverd.
Over de breedte zien wij dat instellingen de komende periode nog bezig zijn met de afronding van het maken van aanvullende afspraken met ICT-dienstverleners, de concrete invulling van exit-plannen met kritieke of belangrijkste ICT-dienstverleners en de borging van de DORA als onderdeel van het IT control raamwerk. Daarna dient verder ingezet te worden op de (doorlopende) uitvoering van de DORA-vereisten, waaronder:•Periodiek evalueren van de relevante beleidsdocumenten;
•Opleiding bestuur en uitvoering bewustmakingsprogramma’s;
•Testen van de digitale weerbaarheid en passende opvolging van de resultaten;
•Testen van de ICT-continuïteitsmaatregelen, waaronder back-ups;
•Monitoren van het voldoen aan de (informatiebeveiligings)vereisten bij de ICT-dienstverleners;
•Uitvoering interne audits op het kader van ICT-risicobeheer, ICT continuïteit respons- en herstelplannen, en het risicobeheer bij/door ICT-dienstverleners.
