Nieuwe DORA-wetgeving per januari 2025 van kracht voor financiële dienstensector: dit is hoe het zit

Met ingang van januari 2025 moeten organisaties in de financiële dienstverlening voldoen aan nieuwe Europese wetgeving. De Digital Operational Resilience Act (DORA) legt deze organisaties tal van nieuwe verplichtingen op, met als doel de digitale weerbaarheid en stabiliteit van financiële systemen in de Europese Unie te waarborgen. Veel organisaties die onder DORA zullen vallen, hebben evenwel nog een hoop werk te verzetten. In dit artikel leest u wat DORA precies inhoudt en wat u kunt doen om uw organisatie op een effectieve manier tijdig compliant te maken.

Meer dan 80 procent van alle betalingen in de Europese Unie wordt tegenwoordig elektronisch gedaan. Dat percentage zal de komende jaren waarschijnlijk alleen maar verder stijgen. Die ontwikkeling heeft twee belangrijke gevolgen. In de eerste plaats zijn we binnen de EU in extreme mate afhankelijk van de stabiliteit en de veiligheid van onze elektronische betaalsystemen, die in veel gevallen in het beheer zijn bij banken. Ten tweede heeft het ervoor gezorgd dat banken, die al die betalingen verwerken, ongekende hoeveelheden gevoelige data in beheer hebben.

Goede en veilige betaalnetwerken zijn daarom van cruciaal belang voor onze economie en maatschappij. Ze moeten altijd functioneren, weerbaar zijn tegen cyberaanvallen en het vertrouwen van consumenten, overheden en organisaties genieten. Met DORA harmoniseert de Europese Commissie alle bestaande nationale en internationale wet- en regelgeving aangaande financiële instellingen. Bovendien komt er meer nadruk te liggen op de gehele keten. Zo wordt het voor partijen in de financiële sector verplicht om behoorlijk third party risicomanagement uit te voeren.

DORA zorgt daarmee voor eenduidige, uniforme verplichtingen voor alle organisaties die binnen de Europese Unie actief zijn op het gebied van financiële dienstverlening. De wetgeving wordt in januari 2025 van kracht en bestaat uit vijf pijlers.

Vijf pijlers van DORA

De vijf pijlers waaruit DORA is opgebouwd, zijn:

• IT-risicomanagement. Dit houdt in dat organisaties verplicht zijn om behoorlijk IT-risicomanagement in te richten en hier ook beheer op uit te voeren. De wijze waarop het risicomanagement is ingericht en wordt beheerd, moet op verzoek transparant inzichtelijk zijn voor toezichthouders.
• Incidentregistratie. Ieder cyberincident moet volledig en transparant worden gerapporteerd, zodat eventuele getroffen slachtoffers kunnen worden geïnformeerd en de schade zoveel mogelijk kan worden beperkt. Andere organisaties kunnen hun beveiliging optimaliseren aan de hand van deze registraties.
• Digitale weerbaarheidstests. De eigen weerbaarheid tegen cyberaanvallen moet periodiek intensief worden getest en het resultaat van deze tests moet behoorlijk worden vastgelegd. Indien er kwetsbaarheden worden aangetroffen, moet daarop worden ingegrepen.
• Third party-risicomanagement. Van alle leveranciers en andere derde partijen waarmee een organisatie zakendoet moet een risicoanalyse worden opgesteld. Deze moet bovendien periodiek worden getoetst en herhaald. Goed om te weten: de meeste geslaagde cyberaanvallen slagen omdat niet de organisatie zelf, maar een leverancier een kwetsbaarheid in zijn IT-inrichting blijkt te hebben.
• Delen van informatie. Waardevolle informatie, bijvoorbeeld over niet-geslaagde cyberaanvallen, moet actief tussen organisaties worden gedeeld en moet dus transparant beschikbaar worden gesteld.

Zoals bij meer Europese wetgeving en richtlijnen het geval is, zijn de bepalingen uit DORA her en der abstract. Er wordt niet voorgekauwd hoe organisaties hun IT exact moeten inrichten. De nadruk ligt op de inspanningsverplichting en op het resultaat: een weerbaar IT-landschap dat behoorlijk wordt beheerd. Organisaties moeten op verzoek kunnen aantonen dat zij alles doen wat redelijkerwijs van hen verwacht mag worden als het gaat om digitale weerbaarheid.

DORA levert potentieel veel op, maar compliant worden valt lang niet altijd mee

Het uiteindelijke doel van DORA is vierledig:

1. De beschikbaarheid van cruciale financiële systemen zoveel mogelijk waarborgen;
2. Uniforme eisen stellen op het gebied van cybersecurity of financiële organisaties;
3. Informatie-uitwisseling en transparantie bevorderen;
4. Toezicht op financiële dienstverleners intensiveren.

Dat levert burgers, bedrijven en uiteindelijk de hele samenleving binnen de Europese Unie potentieel veel op. Als financiële systemen onvoldoende weerbaar zouden blijken tegen cyberaanvallen en onbetrouwbaar worden, zou dat een enorme klap kunnen zijn voor het functioneren van onze economie en samenleving. Dat DORA er komt, is dan ook niet onlogisch en is goed te onderbouwen.

Voor veel organisaties geldt evenwel dat de impact van DORA allesbehalve gering is. In sommige gevallen zal in ieder geval een deel van het IT-landschap moeten worden herzien, of minstens fundamenteel worden heroverwogen. Dat maakt dat de komst van DORA niet alleen op de agenda van IT-managers en -afdelingen moet komen te staan, maar dat dit een onderwerp voor in de boardroom is. Net als bij implementaties van bijvoorbeeld de GDPR of binnenkort de AI Act is ook DORA een richtlijn die zijn sporen gaat nalaten en waarop organisaties zich behoorlijk moeten voorbereiden.

Nog 15 maanden te gaan: start zo snel mogelijk met voorbereiden!

Met die voorbereiding kunnen ze beter niet al te lang meer wachten. DORA wordt al in januari 2025 van kracht, 15 maanden vanaf nu. Dat klinkt wellicht als een lange aanloop, maar organisaties die grootschalige IT-aanpassingen of -implementaties moeten doen om straks compliant te kunnen zijn, zullen al die maanden hard nodig hebben.

Zo’n voorbereiding begint voor elke organisatie op dezelfde manier:

• Inventarisatie. Breng  in kaart welke impact DORA op uw organisatie zal hebben en wat u moet inregelen om straks compliant te zijn. Wellicht blijkt het mee te vallen; dat zou mooi nieuws zijn. Maar als het tegenvalt, bent u in ieder geval op tijd begonnen.
• Advies inwinnen. De meeste organisaties hebben niet alle benodigde IT-kennis en -expertise in huis om zelf oplossingen te bouwen waarmee compliance aan DORA kan worden gegarandeerd. Daarom is het aan te raden om tijdig advies in te winnen over vervolgstappen.
• Implementatietraject inrichten. Bepaal een plan van aanpak voor de noodzakelijke IT-wijzigingen en -implementaties, waarbij u ruimte vrijlaat voor onvoorziene tegenvallers.