Digital Operational Resilience Act (DORA)

Wat is DORA?

Op 14 december 2022 is de Digital Operational Resilience Act (DORA) uitgebracht door het Europees Parlement met als voornaamste doel om wet- en regelgeving op het gebied van cyber-risico’s voor de financiële sector te uniformeren en te standaardiseren en uiteraard de digitale weerbaarheid tegen cyberaanvallen te versterken.

Bekijk de verordering van het Europees Parlement >

Voor wie van toepassing

Deze wetgeving wordt per 17 januari 2025 van kracht voor een groot aantal soorten financiële entiteiten in de EU: banken, verzekeraars en uiteraard ook pensioenfondsen vallen binnen de scope. De reikwijdte van DORA is echter nog veel groter omdat onder DORA financiële entiteiten verantwoordelijk zijn voor de ICT-risico’s van derde partijen (waaronder uitvoeringsorganisaties en ketenpartners zoals ICT dienstverleners).

Inhoud van de wetgeving

DORA heeft 5 belangrijke onderdelen op hoofdniveau (level 1):

  1. ICT risicobeheer;
  2. Melden van ICT incidenten;
  3. Testen van digitale weerbaarheid;
  4. Beheren van ICT-risico’s bij derde partijen;
  5. Informatie-uitwisseling rondom cyberdreigingen en kwetsbaarheden.

Verder bestaat DORA uit de volgende technische standaarden op detailniveau (Level 2):

  • Regulatory Technical Standards (RTS), zoals bijvoorbeeld het uitvoeren van Threat-led Penetration testing volgens het uitgebreide TIBER-EU normenkader. Meer informatie >
  • Implementing Technical Standards (ITS). In de ITS zijn gedetailleerde templates opgenomen die gehanteerd dienen te worden om te voldoen aan DORA. Belangrijk voorbeeld hierin is het “Register of Information”. In de “ITS Register of Information” wordt in de grootste detail aangegeven hoe dit register opgebouwd dient te worden. Zie ook de onderstaande figuur.

Templates in ITS Register of Information

Belangrijk om hierbij te vermelden is dat de finale versie van het 2e deel van de RTS en ITS pas beschikbaar komen in juli 2024.

Relatie met DNB Good Practice Informatiebeveiliging

Om voor te bereiden op de DORA heeft DNB op 19 december 2023 een update van de Good Practice Informatiebeveiliging uitgebracht. In deze versie van de Good Practice IB zijn echter (nog) niet alle vereisten uit DORA opgenomen. Verder is de reikwijdte van DORA veel gedetailleerder en strenger dan de DNB Good Practice IB.

Ga naar de Q&A Informatiebeveiling van DNB >

Implementatie

Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (waaronder pensioenfondsen) en de verwachtte implementatie tijd per organisatie is aanzienlijk: alle artikelen samen betreffen honderden pagina’s. Het is daarom belangrijk om zo snel mogelijk te starten.

Weet u niet hoe of waar te beginnen of heeft u hulp nodig met het vertalen van DORA naar uw organisatie en/of het uitvoeren van gap en/of impact analyses? ARC People heeft veel ervaring met het implementeren van nieuwe wet- en regelgeving. Onze experts kunnen u hier dan ook bij helpen. Wilt u meer weten? Neem dan contact met ons op >

Contact
Anita van der Leeuw
Senior Manager IT Audit & Risk
06-18682946
Carlo Bavius RO RE CIA CRISC CRMA
Associate Partner
06-40050555