Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties ICT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen.
Beheer van ICT-gerelateerde incidenten
Om de effecten van ICT-gerelateerde incidenten te kunnen beperken, is het belangrijk dat deze adequaat worden gedetecteerd en afgehandeld. Dit vereist een robuust beheersproces, consistente classificatie en registratie, en rapportage aan de toezichthouder. Dit draagt bij aan een grotere digitale weerbaarheid van ondernemingen.
In deze
DORA-update wordt dieper ingegaan op het beheer van ICT-incidenten, classificatie en registratie van ICT-incidenten en het rapporteren van ernstige ICT-incidenten en significante cyberdreigingen.
De vereisten die van toepassing zijn voor ICT-gerelateerde incidenten worden in de verordening beschreven in hoofdstuk III (artikel 17-23). Daarnaast wordt een deel van de vereisten verder uitgewerkt in de RTS voor artikel 15, 18(3), 20(a) en de ITS voor artikel 20(b).
Toezicht op de verordening
Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al
DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.
