Invoering Digital Operational Resilience Act (DORA) - Mazars - Nederland (2023)

28 september 2022 - Binnen de financiële sector zijn veel processen gedigitaliseerd en deze ontwikkeling zet nog steeds door. Op EU-niveau is digitalisering een belangrijk speerpunt, waarbij het aspect cyberbeveiliging bijzondere aandacht heeft gekregen. Specifiek voor de financiële sector is de Digital Operational Resilience Act (DORA) de belangrijkste nieuwe wetgeving die het cybersecurity risico binnen de financiële dienstverlening aanpakt.

Op 11 mei 2022 hebben de voorzitters van de Raad van Europa en het Europese parlement haar goedkeuring gegeven aan de voorlopige tekst van de Digital Operational Resilience Act (DORA)[1]. Hiermee is de fase van trialogen als onderdeel van de totstandkoming van deze wet afgesloten. De finale compromistekst van DORA is op 23 juni 2022 gepubliceerd[2]. Rekening houdend met de volgende stappen rond de invoering van deze wet, betekent dit dat organisaties in de financiële sector en hun IT-dienstverleners voor eind 2024 aan de digitale weerbaarheidseisen van DORA moeten voldoen. Het doel van de DORA wetgeving is om de eisen, gesteld aan het beheersen van ICT risico’s, te harmoniseren en daarmee de continuïteit van de kritieke processen binnen de organisaties te waarborgen.

Voor welke organisaties in het bijzonder is DORA relevant?

Dit geldt met name voor verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, beleggingsinstellingen, beheermaatschappijen, banken, crypto-asset service providers, instellingen voor bedrijfspensioenvoorziening en derde aanbieders van ICT-diensten.

Waarom invoering DORA?

De introductie van DORA is bedoeld om de maatschappelijke en economische risico’s van de toenemende cyberbedreigingen in de financiële sector te reduceren. Er zijn verschillende oorzaken te noemen voor het stijgende cyberbedreigingsbeeld, zoals: de toenemende verwevenheid van organisatie-overschrijdende informatietechnologie, uitbesteding van IT aan third parties, waaronder cloud service providers. En ook de voortgaande digitalisering van de financiële sector, waaronder digitalisering van financiële diensten en fintech-toepassingen enerzijds, en het bestaan van kwetsbare legacy systemen binnen de sector anderzijds.

Niet alleen financiële instellingen krijgen te maken met de introductie van DORA. Ook IT-dienstverleners die actief zijn in de financiële sector worden door deze wet gereguleerd door de betreffende toezichthouders. Auditkantoren worden, in tegenstelling tot de vorige DORA-tekst, voorlopig buiten de werking van DORA geplaatst. Voor auditkantoren volgt in een later stadium een uitbreiding op DORA. Hierover is besloten dat dit uiterlijk binnen drie jaar na de invoering van DORA plaatsvindt.

Wat kunt u doen?

Met de publicatie van de compromistekst op 23 juni 2022 is nu voor organisaties, die onder de regelgeving van DORA vallen, de tijd aangebroken om over te gaan tot actie. DORA vereist naast beleidsmatige en procedurele maatregelen, ook aantoonbare operationele maatregelen op het gebied van digitale weerbaarheid en de bijbehorende verantwoording.

Voor organisaties die nu reeds onder toezicht staan van bijvoorbeeld De Nederlandse Bank of Agentschap Telecom, is de impact waarschijnlijk minder groot dan voor organisaties waar dit nu nog niet het geval is. Wij adviseren u dat u bij uw organisatie eerst vaststelt welke gaps aanwezig zijn binnen de huidige informatiebeveiligingsprocessen ten opzichte van de DORA vereisten. Op basis hiervan kan een passend actieplan opgesteld worden om de vereisten vanuit DORA gestructureerd in te voeren en te borgen. Dit is een uitdagend proces en de meeste organisaties zullen door de komst van DORA hun cybersecurity maatregelen drastisch moeten opschalen en op een meer geïntegreerde wijze moeten gaan beheersen.

De Digital Operational Resilence Act

De DORA wetgeving kan gegroepeerd worden in een vijftal pilaren die elk een specifieke focus hebben. In de illustratie is aangegeven welke pilaren te onderscheiden zijn. De specifieke vereisten uit DORA kunnen uiteindelijk ondergebracht worden in een uniform ICT Risk Management Framework om de digitale weerbaarheid van een organisatie blijvend te beheersen. Per pilaar zijn er enkele opvallende impressies gegeven vanuit de nieuwe DORA wetgeving.

Invoering Digital Operational Resilience Act (DORA) - Mazars - Nederland (1)

Pilaar I: ICT Risk Management

  • Organisaties zullen een gestructureerd en gedetailleerd risicomanagement proces moeten inrichten dat vanuit een breed bedrijfsperspectief en op een gestructureerde wijze de cybersecurity risico’s classificeert, monitort en daarbij ook de cybersecuritymaatregelen test en evalueert. Ook wordt aandacht gevraagd voor de risico’s van legacy systemen, volledigheid van het inzicht in de aanwezige IT assets en de daaraan verbonden risico’s. Het beoogde resultaat is een geborgd hoog niveau van cyber resilience.
  • De organisatie dient een uniform ICT risk management framework te realiseren dat ten minste strategie, beleid, procedures, IT protocollen en tools omvat. Ditis nodig om alle informatie en IT-middelen te kunnen beschermen, inclusief computer software, hardware, servers, fysieke componenten en infrastructuur, gebouwen, datacenters en gevoelige omgevingen. Hiermee is duidelijk dat het framework een gedetailleerde uitwerking vereist gebaseerd op de actuele operationele IT-situatie en cyberdreigingen betrekt bij risicobepaling.
  • Organisaties dienen alle bronnen van cybersecurityrisico’s te identificeren en te classificeren. De risico’s en de classificatie van risico’s dienen continu gemonitord te worden. Onderdeel van de classificatie en monitoring betreft ook de diensten van eventuele IT third party service providers. Belangrijke veranderingen in IT-middelen of infrastructuur vereisen een nieuwe evaluatie van de risico’s. Periodiek of ten minste jaarlijks dient een specifiek risk assessment te worden uitgevoerd op legacy systemen die bijvoorbeeld geen adequate beveiligingsupdates meer ontvangen.
  • Het topmanagement is verantwoordelijk voor het cyber resilience risk management en framework en dient te zorgen dat ook de kennis van cybersecurity en -resilience op board level niveau voldoende aanwezig is. Verantwoordelijkheden en taken voor cybersecurity zijn in de organisatie gedefinieerd en geïmplementeerd. Op verzoek van de toezichthouder dient een financiële instelling het gehele ICT Risk Management Framework en ondersteunende documentatie te kunnen overhandigen. Dit framework hoort ook de cyberrisico’s te omvatten.

Pilaar II: ICT Incident Reporting

  • DORA kent een meldplicht voor ernstige cybersecurity incidenten aan de betreffende autoriteiten en een vrijwillige melding van minder ernstige incidenten. Organisaties dienen een gecentraliseerde systematiek te realiseren voor het registreren van IT en cybersecurity gerelateerde incidenten.
  • Maatregelen gericht op detectie zijn een vereiste binnen DORA. Dit betreft onder andere het detecteren van afwijkingen in datastromen, netwerkverkeer en in het bijzonder cyberaanvallen.

Pilaar III: Digital Operational Resilience Testing

  • DORA stelt niet alleen eisen aan het beschikken over een ICT business continuity policy inclusief een recovery plan, maar ook dat dit beleid aantoonbaar is geïmplementeerd én dat er periodiek recovery testen worden uitgevoerd. DORA wijst erop dat ook de uitbestede activiteiten aan IT third party providers hier onderdeel van horen te zijn.
  • Testen van de cyberweerbaarheid is eveneens een specifiek onderdeel binnen DORA met in het bijzonder aandacht voor aspecten van de cyberweerbaarheid voor incident response, disaster recovery en back-upvoorzieningen en -procedures.
  • Het uitvoeren van penetratietesten dient plaats te vinden op basis van risicoanalyses en onderkenning van cyberdreigingen (threat-led penetration testing). Deze verplichtingen gelden ook voor eventuele IT third party service providers. Aan de penetratietesters worden eisen gesteld qua aanpak en reputatie. Penetratietesten en red teaming activiteiten dienen op een risico gebaseerde aanpak te zijn gebaseerd en volgens een gestructureerde aanpak te worden uitgevoerd. Penetratietesters dienen te zijn geaccrediteerd door een Europese instantie of te werken onder professionele en ethische regels.
  • Financiële instellingen dienen gebruik te maken van geactualiseerde systemen, software en tools gericht op het beheersen van risico’s en geschikt om eventuele crisissituaties te kunnen doorstaan en continuïteit van processen te kunnen waarborgen.

Pilaar IV: ICT Third Party Risk Management

  • Allereerst is DORA, zelfs wereldwijd, het eerste wetgevende kader dat financiële toezichthouders mandaat geeft om toezicht te houden op voor de financiële instelling kritische IT third party providers, inclusief eventuele Cloud Service Providers (CSPs).
  • DORA stelt eisen aan contractuele afspraken tussen financiële instellingen en IT-dienstverleners inzake cybersecurity, verplichting tot medewerking van IT-dienstverleners aan cybersecurity assessments en medewerking aan off-site en on-site cybersecurity onderzoeken door toezichthouders. Organisaties zullen vrijwel zeker de gemaakte afspraken op cybersecurity gebied moeten herzien / aanscherpen om deze DORA compliant te maken.

Pilaar V: Information And Intelligence Sharing

  • Vanuit DORA wordt een wettelijk kader in het leven geroepen voor het uitwisselen van cyberdreigingsinformatie en alles wat daar onder kan vallen (technieken, indicators of compromise, security tooling). Dit sluit goed aan bij de reeds bestaande uitwisselingsverbanden op het gebied van cybersecurity zoals de P(ensioen)-ISAC, P(ayment)I(nstitutions)-ISAC en het F(inancial)I(nstitutions)-ISAC. Kleinere financiële instellingen zullen zich steeds vaker aan gaan sluiten bij een (sectorale) Information Sharing and Analysis Centre (ISAC).
  • Toezichthouders krijgen de mogelijkheid om bij niet naleving van de DORA verplichtingen over te gaan tot het opleggen van boetes.

Ten slotte is belangrijk te onderkennen dat in 2023 nog aanvullingen volgen op de meer technische normen. De uitwerking van deze technische invulling van maatregelen ligt bij de diverse European Supervisory Authorities (ESAs).

Conclusies

Tot zover slechts enkele impressies uit DORA waarmee ook aangegeven is dat DORA een veelomvattende en verstrekkende wet is en voor veel organisaties ingrijpende gevolgen zal hebben voor IT-risk management en interne beheersing, met als focus cyberweerbaarheid. Met vaststelling van de nu overeengekomen tekst van DORA is een goede basis gelegd voor organisaties om zich voor te bereiden op de implementatie dan deze wet. De verwachting is dat in oktober 2022 het Europese parlement DORA zal bekrachtigen. Het is verstandig om nu te starten met het uitvoeren van de gap-analyse met als doel het opstellen van een roadmap voor het ontwerp van het vereiste “digital resilence risk management framework” waarna er voldoende tijd is voor de verdere implementatie van de bijbehorende benodigde maatregelen vóór eind 2024.

In het kader van het programma "Cybersecurity in het DIGITALE Europa" zijn tal van wetgevingsinitiatieven gestart, zoals de vaststelling van de Netwerk- en informatiedienstenrichtlijn 2 (NIS2), het Europees certificatiesysteem voor cyberbeveiliging van clouddiensten (EUCS) als onderdeel van de EU-wet inzake cyberbeveiliging en de EU-wet inzake gegevensbeheer.

Meer informatie?

Wilt u meer weten over DORA of wat u al kunt doen? Neem dan contact op met Jan Mattoper e-mailof per telefoon: +31 (0)88 277 13 99, met Jeffrey de Bruijn per e-mail of per telefoon +31 (0)88 277 11 27 of met Diman Kampper e-mailof per telefoon: +31 (0)88 277 14 67. Zij helpen u graag verder.

Voetnoten

[1] Raad van de EU, Persmededeling, 11 mei 2022, Digitale financiën: voorlopig akkoord over eDORA

[2] REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014

FAQs

What is the Digital Operational Resilience Act known as Dora? ›

DORA aims to ensure that all participants in the financial system have the necessary safeguards in place to mitigate cyber-attacks and other risks. The legislation will require firms to ensure that they can withstand all types of ICT-related disruptions and threats.

Who does Digital Operational Resilience Act apply to? ›

DORA has a broad scope and applies to most of the regulated financial institutions in the European Union, including inter alia banks, insurance companies and intermediaries, PSPs/EMIs, investment firms, pension funds, crypto-asset service providers, crowdfunding service providers, fund managers and ICT third-party ...

What are the DORA requirements? ›

In practice, DORA will: Require EU financial entities to adopt comprehensive capabilities that enable, test, and assure robust and effective Information Communications Technology (ICT) risk management, as well as specific mechanisms and policies to deal with all ICT incidents, and report major ICT-related incidents to ...

Has Dora been enacted? ›

The EU's Digital Operational Resilience Act (“DORA”) entered into force on 16 January 2023, 20 days after its initial publication in the Official Journal of the European Union on 27 December 2022.

What is the main purpose of Dora? ›

DORA creates a framework of rules that financial institutions and their suppliers need to follow for operational resilience. Some of the key goals and requirements include: Risk Management and Governance: DORA lays out frameworks and guidelines for risk management in the financial sector.

What are the 3 components of operational resilience? ›

3 Activities such as risk identification and assessment, risk mitigation (including the implementation of controls) and ongoing monitoring work together to minimise operational disruptions and their effects.

Who is impacted by Dora? ›

Which entities are impacted by the regulation? There are a wide range of entities that are affected by DORA. It covers banks, payment institutions, investment firms, crypto assets service providers and more. Additionally, critical third-party ICT providers are also regulated under the regulation.

What is the Digital Operational Resilience Act in a nutshell? ›

DORA's main objectives are to elevate the financial sector's operational resilience, further enhance security requirements to reduce threats and risks deriving from the use of ICT, and build up operational resilience of the financial sector against ICT related incidents.

What is the Dora regulation January 2023? ›

The Digital Operational Resilience Act (DORA) – EU legislation in force since 16 January 2023 – sets out requirements for ICT security systems that support the business processes of financial entities.

Is Dora a directive or Regulation? ›

Remember, the Digital Operational Resilience Act (DORA) is a Regulation, not a Directive, so it is binding in its entirety and directly applicable in all EU Member States.

Why did Dora change? ›

The beauty of cartoon characters is that they don't have to ever age, so creators can keep them the same forever. But the Dora creators figured they would try something different here and update Dora's look and appeal.

Is Dora in force? ›

The Digital Operational Resilience Act (“DORA”) is part of the Digital finance package adopted in 2020 by the EU Commission to further enable and support the potential of digital finance in terms of innovation and competition, while mitigating the risks arising from it. DORA enters into force on 16 January 2023.

Why was Dora introduced? ›

Like most wartime acts, the Defence of the Realm Act was designed to help prevent potential invasion and to keep homeland morale at a high.

What are the Dora methods? ›

DORA metrics are used by DevOps teams to measure their performance and find out whether they are “low performers” to “elite performers”. The four metrics used are deployment frequency (DF), lead time for changes (MLT), mean time to recovery (MTTR), and change failure rate (CFR).

Who created Dora? ›

Dora the Explorer is an American animated television series created by Chris Gifford, Valerie Walsh, and Eric Weiner. Dora the Explorer became a regular series in 2000. The show is carried on the Nickelodeon cable television network, including the associated Nick Jr. channel.

What are the three C's of resilience? ›

The 3 C's of Resilient Leadership: Challenge, Control, and Commitment.

What are the 4 pillars of resilience? ›

Resilience is the ability to function well in the face of adversity. The DLA resilience model has four pillars: mental, physical, social and spiritual; balancing these four components help strengthen your life.

What is the principle of 7 operational resilience? ›

Principle 7: Banks are required to ensure resilient ICT, including cyber security that requires regularly tested protection, detection, response, and recovery programs, incorporate appropriate situational awareness, and convey relevant, timely information for risk management and decision-making processes that fully ...

What is operational resilience? ›

The POR define operational resilience as a bank's ability to deliver critical operations in the face of disruption. This ability should enable a bank to identify and protect itself from threats and potential failures.

What is an example of digital resilience? ›

Digital resilience encompasses several components that help an organization thrive during disasters. For instance, the key elements of a digitally resilient organization include: A strong cybersecurity strategy to protect the digital assets of the organization from cyber threats.

What is digital resilience in simple words? ›

Digital resilience is a dynamic personality asset that grows from digital activation i.e. through engaging with appropriate opportunities and challenges online, rather than through avoidance and safety behaviours.

What are the 5 resources that make up the stages of operational resilience? ›

5 Pillars of Operational Resilience
  • People resilience. ...
  • Systems resilience. ...
  • Financial resilience. ...
  • Regulatory resilience. ...
  • Structural resilience.

What is the Digital Operational resilience Act in a nutshell? ›

DORA's main objectives are to elevate the financial sector's operational resilience, further enhance security requirements to reduce threats and risks deriving from the use of ICT, and build up operational resilience of the financial sector against ICT related incidents.

What is the Dora implementation period? ›

The industry has been given two years to prepare and implement the necessary changes before DORA starts applying on 17 January 2025. While this may seem far away, significant action is likely to be needed, and financial entities are advised to start preparations as soon as possible.

What are the four cornerstones of operational resilience? ›

There are four key areas in which AWS helps organizations improve operational resilience: infrastructure, operations, security, and software.

What is Dora ethnicity? ›

Dora is a Latina. According to a Nickelodeon spokesman, "she was developed to be pan-Latina to represent the diversity of Latino cultures".

References

Top Articles
Latest Posts
Article information

Author: Kerri Lueilwitz

Last Updated: 07/09/2023

Views: 6354

Rating: 4.7 / 5 (67 voted)

Reviews: 90% of readers found this page helpful

Author information

Name: Kerri Lueilwitz

Birthday: 1992-10-31

Address: Suite 878 3699 Chantelle Roads, Colebury, NC 68599

Phone: +6111989609516

Job: Chief Farming Manager

Hobby: Mycology, Stone skipping, Dowsing, Whittling, Taxidermy, Sand art, Roller skating

Introduction: My name is Kerri Lueilwitz, I am a courageous, gentle, quaint, thankful, outstanding, brave, vast person who loves writing and wants to share my knowledge and understanding with you.