Een lex specialis voor de financiële sector
DORA is een verordening die door de Uniewetgever gelijktijdig werd aangenomen met de NIS2-richtlijn. Waar NIS2, kort samengevat, van toepassing is op alle middelgrote of grote organisaties die tot de kritieke infrastructuur worden gerekend, is DORA van toepassing op financiële dienstverleners, ongeacht hun grootte of omvang. Bij samenloop tussen NIS2 en DORA hebben de verplichtingen in DORA voorrang.
Level 1 en Level 2
DORA (level 1) geeft de Commissie de bevoegdheid om lagere regelgeving vast te stellen. Deze lagere (level 2) regelgeving specificeert hoe financiële entiteiten aan bepaalde verplichtingen in DORA moeten voldoen. Level 2 regelgeving wordt voorbereid door de Europese toezichthoudende autoriteiten (EBA, EIOPA, ESMA). Een deel van de level 2 regelgeving is inmiddels door de Commissie vastgesteld. Een ander deel is al wel in concept bekend, maar nog niet formeel vastgesteld door de Commissie en is tot die tijd nog niet van toepassing.
ICT-risicobeheer
Financiële entiteiten moeten op grond van DORA voldoen aan verschillende verplichtingen, waaronder:
- Zij moeten beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer. Dit kader moet bestaan uit strategieën, beleidslijnen, procedures, protocollen en instrumenten die nodig zijn om gegevens en ICT-activa, incl. relevante fysieke infrastructuur, naar behoren te beschermen tegen ICT-risico’s.
- Zij moeten beschikken over een incidentbeheerproces, ICT-gerelateerde incidenten registreren en ernstige ICT-gerelateerde incidenten melden aan de toezichthouder en klanten.
- Zij moeten beschikken over een degelijk en alomvattend programma voor het testen van hun digitale operationele weerbaarheid. Bepaalde categorieën financiële entiteiten kunnen bovendien worden verplicht om extra geavanceerde testen uit te voeren in de vorm van Thread Led Penetration Testing (TLPT).
- Zij moeten een beleid hebben voor de beheersing van ICT-risico’s bij uitbesteding en voor iedere uitbesteding een risicoanalyse uitvoeren en due diligence doen.
- Contracten met leveranciers van ICT-diensten moeten voldoen aan bepaalde inhoudelijke eisen.
Opleidingsverplichting
Ook rust op bestuurders van financiële entiteiten de verplichting om hun kennis en vaardigheden op het gebied van cybersecurity actief te onderhouden, o.a. door het volgen van passende opleidingen. In dit kader bieden wij samen met Secura een 1-daagse in-company training aan, de DORA boardroom training.
Vragen?
Wilt u meer weten over DORA of bent u geïnteresseerd in onze DORA boardroom training, neem dan nu contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity. Wij vertellen u graag meer.
Nieuwsbrief
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om u in te schrijven voor de nieuwsbrief!