De Digital Operational Resilience Act (DORA) staat voor de deur en zal impact hebben op alle organisaties in de financiële sector binnen de EU. Vanaf 17 januari 2025 is DORA het wettelijke kader specifiek gericht op het versterken van de digitale weerbaarheid van financiële instellingen. Dit door middel van strengere eisen voor risicobeheer, ICT-uitbestedingen, incidentbeheer voor het waarborgen van de digitale keten. Financiële instellingen, zoals banken, verzekeraars en beleggingsondernemingen, moeten hun IT-systemen veerkrachtiger maken en zich beter voorbereiden op cyberincidenten.
Dit lijkt misschien overweldigend en ingewikkeld, maar in dit artikel lichten we de belangrijkste eisen van DORA toe en geven we inzicht in hoe je aan deze regelgeving kunt voldoen. Steeds meer van onze klanten stellen vragen over DORA, en inmiddels hebben wij een oplossing: een functionaliteit binnen onze software waarmee je een ‘informatieregister’ kunt bijhouden. Deze functionaliteit helpt je de wetgeving op de juiste manier te implementeren in je organisatie.
DORA: de belangrijkste eisen
DORA is dus een nieuwe EU-verordening die financiële instellingen verplicht om hun digitale weerbaarheid te verbeteren. Dit houdt in dat bedrijven in de financiële sector ervoor moeten zorgen dat hun IT-systemen bestand zijn tegen cyberaanvallen, IT-storingen en andere incidenten. De belangrijkste eisen van DORA zijn:
- Overzicht van ICT-uitbestedingen
Financiële instellingen moeten een volledig overzicht hebben van alle externe leveranciers die kritieke ICT-diensten leveren, zoals cloudservices, datacentra en cybersecurity-oplossingen. Dit helpt bij het identificeren van afhankelijkheden en mogelijke kwetsbaarheden in de keten.
- Beheer van ICT-risico’s
Er moet een risicobeheerbeleid zijn dat alle ICT-risico’s in de toeleveringsketen dekt, inclusief die van externe dienstverleners. Instellingen moeten risico’s proactief monitoren en beoordelen om potentiële problemen tijdig te kunnen aanpakken.
- Incidentbeheer en rapportage
Organisaties zijn verplicht om incidenten en storingen in hun ICT-diensten vast te leggen en te rapporteren. Dit is essentieel voor het voldoen aan de meldingsplicht voor ernstige ICT-incidenten aan toezichthouders.
- Toezicht en naleving
Financiële instellingen moeten aantonen dat ze voldoen aan de vereisten van DORA en dat ze adequate maatregelen hebben genomen om hun kritieke ICT-diensten en -uitbestedingen te beheren. Dit omvat het documenteren van risicobeheerprocessen en incidentresponsplannen.
- Meldingsplicht voor ICT-incidenten
Ernstige ICT-incidenten moeten binnen een gestelde termijn worden gerapporteerd aan de toezichthouder. Dit bevordert snelle en transparante communicatie in geval van incidenten.
- Periodieke testen van digitale veerkracht
Organisaties moeten regelmatig testen uitvoeren op de veerkracht van hun IT-systemen, zoals penetratietests. Deze tests zijn bedoeld om kwetsbaarheden op te sporen en de algehele beveiliging te verbeteren.
- Strengere controle op ICT-uitbestedingen
Financiële instellingen moeten zorgen voor een zorgvuldige beoordeling van de risico’s die gepaard gaan met het uitbesteden van ICT-diensten aan derde partijen. Dit omvat het monitoren van de prestaties en de compliance van deze leveranciers.
Informatieregister Pactum voor de DORA-naleving
Met een informatieregister kun je gecentraliseerd alle externe ICT-dienstverleners en hun bijbehorende diensten te registreren. Dit register is belangrijk voor het beheer van ICT-risico’s, het snel rapporteren van incidenten en het naleven van wet- en regelgeving.
Enkele van de belangrijkste features zijn:
- Lijst van leveranciers: Een compleet overzicht van externe dienstverleners, inclusief details zoals contractduur, service level agreements (SLA’s), en de scope van hun diensten.
- Contracten en financiële details: Inzicht in de waarde van uitbestedingscontracten en de specifieke diensten die worden geleverd.
- Kritieke systemen en afhankelijkheden: Een overzicht van welke interne systemen afhankelijk zijn van externe leveranciers, wat cruciaal is om mogelijke risico’s te identificeren.
- Risicoanalyse en beoordeling: Functionaliteit voor risicobeoordeling en regelmatige updates, inclusief audits van externe leveranciers.
- Incidenthistorie en rapportages: Mogelijkheid om incidenten te loggen en rapportages op te stellen, die nodig zijn voor de meldingsplicht.
Een kort voorbeeld van FinTech
FinTech Corp, een opkomende speler in de financiële sector, heeft recentelijk verschillende externe leveranciers ingeschakeld om hun IT-diensten te ondersteunen. Terwijl ze hun diensten uitbreiden, realiseren ze zich dat ze niet goed in kaart hebben gebracht welke leveranciers betrokken zijn bij hun kritieke ICT-processen en welke risico’s daaraan verbonden zijn.
Een bijeenkomst met hun compliance-team brengt dit probleem aan het licht. Ze ontdekken dat de nieuwe DORA-regelgeving vraagt om een duidelijke registratie van alle ICT-uitbestedingen en een goede risicoanalyse van externe partners. Dit betekent dat ze hun processen moeten aanpassen om te voldoen aan de eisen van de regelgeving.
FinTech Corp besluit om een informatieregister op te zetten waarin ze alle externe leveranciers, hun contracten en de bijbehorende risico’s registreren. Door deze stap kunnen ze niet alleen voldoen aan de DORA-eisen, maar krijgen ze ook meer inzicht in hun afhankelijkheden en potentiële kwetsbaarheden. Met deze verbeteringen kunnen ze hun klanten beter bedienen en hun digitale veerkracht versterken.
Actie ondernemen of niet?
Je hebt nog tot 17 januari 2025 de tijd om aan alle vereisten te voldoen. Bedrijven moeten zich dus goed voorbereiden op deze nieuwe eisen. Door te investeren in een robuust systeem zorg je ervoor dat je tijdig compliant bent en beter bent voorbereid op toekomstige risico’s. We vertellen je graag meer over ons informatieregister. Vraag gerust een gratis demo aan of neem contact op via simon@contractbeheer.com.