Op 14 december 2022 is de Digital Operational Resilience Act (DORA) uitgebracht door het Europees Parlement met als voornaamste doel om wet- en regelgeving op het gebied van cyber-risico’s voor de financiële sector te uniformeren en te standaardiseren en uiteraard de digitale weerbaarheid tegen cyberaanvallen te versterken.
Deze wetgeving wordt per 17 januari 2025 van kracht voor een groot aantal soorten financiële entiteiten in de EU: banken, verzekeraars en uiteraard ook pensioenfondsen vallen binnen de scope. De reikwijdte van DORA is echter nog veel groter omdat onder DORA financiële entiteiten verantwoordelijk zijn voor de ICT-risico’s van derde partijen (waaronder uitvoeringsorganisaties en ketenpartners zoals ICT dienstverleners).
DORA heeft 5 belangrijke onderdelen op hoofdniveau (level 1):
Verder bestaat DORA uit de volgende technische standaarden op detailniveau (Level 2):
Templates in ITS Register of Information
Belangrijk om hierbij te vermelden is dat de finale versie van het 2e deel van de RTS en ITS pas beschikbaar komen in juli 2024.
Om voor te bereiden op de DORA heeft DNB op 19 december 2023 een update van de Good Practice Informatiebeveiliging uitgebracht. In deze versie van de Good Practice IB zijn echter (nog) niet alle vereisten uit DORA opgenomen. Verder is de reikwijdte van DORA veel gedetailleerder en strenger dan de DNB Good Practice IB.
Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (waaronder pensioenfondsen) en de verwachtte implementatie tijd per organisatie is aanzienlijk: alle artikelen samen betreffen honderden pagina’s. Het is daarom belangrijk om zo snel mogelijk te starten.
Weet u niet hoe of waar te beginnen of heeft u hulp nodig met het vertalen van DORA naar uw organisatie en/of het uitvoeren van gap en/of impact analyses? ARC People heeft veel ervaring met het implementeren van nieuwe wet- en regelgeving. Onze experts kunnen u hier dan ook bij helpen. Wilt u meer weten? Neem dan contact met ons op >