Op 17 januari 2025 is de Digital Operational Resilience Act (DORA) in werking getreden. De Autoriteit Financiële Markten (AFM) stuurde in februari 2025 een informatieverzoek naar alle ondernemingen die een AFM-vergunning hebben en onder DORA vallen. “Veel partijen zitten met hun handen in het haar”, zeggen Ronald Plompen en Michel Steenbergen van adviesorganisatie FLYzone, partner van Fully In Control.
Digitale weerbaarheid
Financiële instellingen worden steeds vaker doelwit van cyberaanvallen. DORA is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodiek testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten.
Deadline nadert
Een van de vereisten onder DORA is dus dat financiële instellingen een informatieregister moeten bijhouden van alle contractuele overeenkomsten met ICT-dienstverleners. Dit register omvat een veelvoud van registraties (bijvoorbeeld welk proces welk systeem gebruikt en toeleveranciers van de leveranciers van ICT-diensten) en de deadline nadert snel.
De AFM zal op korte termijn het informatieregister opvragen, zodat het tijdig de registers kan indienen bij de Europese toezichthouders. Dat moet uiterlijk 17 april gebeuren. DORA vereist verder een breed scala aan maatregelen, waaronder het hebben van een risico framework, continuïteitsplannen en third-party riskmanagement. Daarbij moeten de financiële instellingen zich voorbereiden op stress scenario’s, waarbij kritieke functies binnen korte tijd hersteld moeten kunnen worden.
“Dat vraagt nogal wat van financiële instellingen en een groot deel heeft nog flinke stappen te maken voor de DORA-implementatie. Veel instellingen zijn al wel begonnen met DORA, maar vaak lopen ze achter. Dat is begrijpelijk, want het zijn ook complexe vraagstukken. Het is echter niet optioneel maar verplicht, dus de tijd dringt”, benadrukt Ronald. “Bovendien doe je het niet omdat de wet het voorschrijft, maar omdat je jouw organisatie en je klanten wil beschermen”, onderstreept Michel nog eens.
DORA-implementatie en IT-beheersing vereenvoudigen
Om de DORA-implementatie te verduidelijken heeft NOREA, de beroepsorganisatie van IT-auditors, afgelopen jaar een zogeheten DORA Control Framework ontwikkeld. Dit framework brengt de 400 pagina’s aan wetgeving terug naar 8 overzichtelijke domeinen, 29 subdomeinen en 90 onderliggende controls. Hierdoor wordt het voor instellingen eenvoudiger om de vereisten te begrijpen, toe te passen en gap assessments uit te voeren. Het helpt om exitplannen en continuïteitstesten om te zetten in concrete acties.
Daarnaast heeft NOREA het initiatief genomen om een verslaggevingsstandaard te ontwikkelen waarmee organisaties zich kunnen verantwoorden over hun IT-beheersing. Deze standaard, het zogeheten NOREA-rapportage-initiatief (NRI), biedt een handvat voor het management om zich in een IT-beheerverslag te verantwoorden en belanghebbenden te informeren over de Governance, Risk and Compliance en essentiële IT-onderwerpen. In de beschrijvingen wordt per IT-onderwerp steeds aandacht geschonken aan de managementcyclus (Plan-Do-Check-Act) die door de organisatie is ingericht. Ronald en Michel vinden het NRI een positieve ontwikkeling: “Met deze komende verslaggevingsstandaard is er nu een solide basis voor organisaties van verschillende omvang om op een consistente manier te rapporteren over hun IT.”
Ondersteunende software
Ondersteunende software maakt alle handelingen die voor DORA moeten worden verricht overzichtelijk. Het Integraal Management Platform van Fully In Control biedt een oplossing om binnen de ISMS-oplossing de operationele en informatiebeveiligingseisen van DORA te beheren. “Deze informatie kan vervolgens worden gebruikt om bijvoorbeeld het register van information te vullen én te onderhouden. Het aanleveren van een informatieregister is dus niet een eenmalig iets. Je moet aantonen dat je op basis van de Plan-Do-Check-Act-cyclus doorlopend bezig bent met verbeteren en voldoet aan de DORA-vereiste”, legt Frank Walraven van Fully In Control uit.
Om het makkelijker te maken voor gebruikers heeft FLYzone aanvullend een kennisbank en
best practices ontwikkeld. “Hiermee kan de gebruiker de bestaande controls makkelijker vergelijken met bijvoorbeeld de DORA vereisten en gerichte actie ondernemen om een eventueel gat te dichten”, aldus Frank.
