Ondernemers moeten zich voorbereiden op DORA

Ondernemers moeten zich voorbereiden op DORA

De Autoriteit Financiële Markten (AFM) vraag in een publicatie aandacht voor de komst van DORA (Digital Operations Resilience Act)  Aan de hand van deze uitgave kunnen ondernemingen kijken waar ze staan op het gebied van cyberveiligheid en welke stappen ze nog moeten zetten om aan de verordening te voldoen.

Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen. Zo worden de ondernemingen weerbaarder tegen cyberdreigingen.

Aandachtspunten

Het is raadzaam dat ondernemingen zo vroeg mogelijk beginnen met de voorbereidingen op DORA. Deze publicatie laat onder meer zien waar ondernemingen nu al mee aan de slag kunnen in afwachting van de uitwerking van nadere regelgeving. Vanaf januari 2025 moeten ondernemingen namelijk aan de regelgeving voldoen. Uitstellen werkt dus boetes en onveiligheid in de hand.

Ondernemingen moeten volgens de autoriteit op vijf punten letten:
  • ICT-risicobeheer
  • ICT-gerelateerde incidenten
  • Testen van digitale operationele weerbaarheid
  • Beheer van ICT-risico van derde aanbieders
  • Governance en organisatie

Ondernemingen kunnen al starten met het analyseren van de huidige gap met DORA
en het opzetten van activiteiten om aan de wet te voldoen. Dat kan voor een deel van de nieuwe regels. Een ander deel van de onderwerpen wordt op dit moment door de ESA’s (European
Supervisory Authorities) in meer detail uitgewerkt in Regulatory en Implementing
Technical Standards (RTS en ITS). Deze thema’s zijn wel al op hoofdlijnen bekend dus starten kan al wel.

Een belangrijk onderdeel is de toewijzing van de benodigde rollen op het gebied
van IT-beheersing, zoals een onafhankelijke functie voor de beheersing van ICT-
risico’s en een internal auditor die het framework periodiek beoordeelt.

Naast het governance and control framework schrijft DORA ook een specifiek
ICT risk management framework (ICT RMF) voor. IT hangt sterk samen met andere
bedrijfsprocessen, waardoor dit framework in lijn moet te zijn met het enterprise risk
management (ERM). Voor een aantal vergunningstypes wordt een RTS ontwikkeld
met een versimpelde richtlijn voor het inrichten van het ICT risk management
framework.

Business Continuity Management (BCM) op het gebied van IT is van belang om de
stabiliteit van de dienstverlening van een onderneming te kunnen waarborgen. DORA
schrijft dan ook periodiek testen voor van BCM-plannen, en dat de benodigde
crisiscommunicatie goed werkt.

Voor een effectief incidentmanagement verwacht DORA dat ondernemingen een proces inrichten voor detecteren en afhandelen van ICT-incidenten en cyberdreigingen. Daarnaast moeten ondernemingen ook registreren welke incidenten zich voordeden. Dit bevordert namelijk een zorgvuldige afhandeling en opvolging van incidenten, en biedt de mogelijkheid voor evaluaties en root cause analyses.

DORA schrijft voor dat bedrijven belangrijke IT-incidenten moeten melden aan de toezichthouder. Dit is momenteel ook al verplicht. Criteria en templates voor de meldplicht vanuit DORA worden momenteel ontwikkeld.

Wanneer aan wat voldoen
  • Aanvullende uitwerking Beschrijving Voorlegging aan de EC RTS voor artikel 18(3) Classification of ICT-related incidents and cyber threats: Uiterlijk 17 januari 2024
  • RTS voor artikel 20(a) Reporting content and templates: Uiterlijk 17 juli 2024
  • ITS voor artikel 20(b) ITS to establish the reporting details for major ICT related incidents:
    Uiterlijk 17 juli 2024

Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.

Lees ook:
  • Topspelers in de tech-industrie vormen alliantie voor open standaarden
  • Cloud Incident Response: best practices om uw bedrijf te beschermen