17 januari 2025 nadert met rasse schreden. Vanaf deze datum wordt de Digital Operational Resilience Act (DORA) van kracht. DORA is een Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Nederlandse financiële instellingen hebben nog enkele maanden om te voldoen aan de vereisten van deze regelgeving. De Nederlandsche Bank (DNB) heeft onlangs een uitvraag gedaan om te peilen hoe ver instellingen zijn met de implementatie van DORA. De resultaten wijzen erop dat er nog flink wat werk verzet moet worden om tijdig aan de nieuwe eisen te voldoen.
De financiële sector wordt steeds afhankelijker van technologie/techbedrijven voor zijn dienstverlening. Dit maakt de financiële sector kwetsbaar voor onderliggende problemen met technologie, zoals een cyberaanval. Dit kan uiteindelijk ten koste gaan van de robuustheid en transparantie van de kapitaalmarkten. DORA heeft als doel technologische risico’s te ondervangen voor aanbieders van crowdfundingdiensten, verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen, beleggingsondernemingen, beleggingsinstellingen en handelsplatformen. Doel is om de robuustheid te garanderen. De verordening richt zich op het aanscherpen van risk management, IT-incidentbeheersing, testen, toezicht op kritieke IT-dienstverleners, en het onderdeel governance en organisatie. Daarnaast verbetert DORA de ketenveiligheid en worden de risico’s van fouten bij informatie-uitwisseling beperkt.
De huidige stand van zaken
Uit de uitvraag van DNB blijkt dat veel financiële instellingen nog in de voorbereidende fase verkeren. Een aanzienlijk aantal is nog bezig met de uitvoering van een gap-analyse of moet hier zelfs nog aan beginnen. Een dergelijke analyse is cruciaal om de verschillen tussen de huidige situatie en de vereisten van DORA in kaart te brengen. Zonder een gedegen gap-analyse is het moeilijk om te bepalen welke aanpassingen noodzakelijk zijn op het gebied van beleid, processen, controlemaatregelen en contracten met ICT-dienstverleners. DNB benadrukt dan ook de urgentie om deze analyses spoedig af te ronden.
Uitdagingen met centrale databeheer
Een andere uitdaging die uit de uitvraag naar voren komt, is het ontbreken van een overkoepelend overzicht binnen veel organisaties. Specifieke eisen van DORA, zoals het opzetten van een informatieregister waarin alle ICT-contracten worden vastgelegd, blijken vaak lastig te realiseren. De benodigde informatie is veelal verspreid over verschillende systemen en afdelingen, wat systeemaanpassingen vereist. Daarnaast kan het afstemmen van processen met ICT-dienstverleners, met name met betrekking tot de monitoring van uitbestedingsketens, veel tijd in beslag nemen.
Implementatieprogramma’s nog in de kinderschoenen
Hoewel sommige instellingen al verder zijn en hun gap-analyse hebben afgerond, blijken ook zij nog een lange weg te gaan te hebben. De implementatie van de benodigde aanpassingen, zoals nieuwe IT-beveiligingsmaatregelen en contractuele aanpassingen, verloopt vaak trager dan verwacht. DNB dringt erop aan dat instellingen hun voorbereidingen gestructureerd en met de nodige urgentie oppakken. Een formeel implementatieprogramma onder toezicht van het bestuur of de directie kan hieraan bijdragen.
Wat gebeurt er na 17 januari 2025?
Na de implementatiedeadline van 17 januari 2025 moeten instellingen voldoen aan alle aspecten van de DORA-verordening. DNB heeft aangekondigd dat zij in het eerste kwartaal van 2025 zal beginnen met het opvragen van informatieregisters met betrekking tot contracten voor ICT-diensten. Deze informatie is essentieel voor de Europese aanwijzing van kritieke derde aanbieders van ICT-diensten (CTPP’s). Daarnaast wordt van instellingen verwacht dat zij een proces hebben ingericht voor het melden van ICT-incidenten dat volledig aan de DORA-eisen voldoet.
Acties voor een tijdige implementatie
Instellingen die hun gap-analyse nog niet hebben afgerond, worden aangemoedigd om dit zo snel mogelijk te doen. Vervolgens moeten zij een duidelijk actieplan opstellen met duidelijke prioriteiten, tijdlijnen en verantwoordelijken om de geïdentificeerde gaps te dichten. Periodieke monitoring van de voortgang is daarbij cruciaal. Tot slot is het belangrijk om voldoende zekerheid te verkrijgen over de naleving van DORA, zowel binnen de eigen organisatie als bij externe ICT-dienstverleners.
Vervanging van Good Practice Informatiebeveiliging door DORA
Met de invoering van DORA op 17 januari 2025 vervalt de huidige Good Practice Informatiebeveiliging 2023 voor instellingen die onder DORA vallen. DNB zal voortaan DORA gebruiken als wettelijk kader voor toekomstige onderzoeken en uitvragen. Instellingen kunnen de Good Practice Informatiebeveiliging echter nog steeds gebruiken als richtlijn voor prioritering van risicomitigerende maatregelen.
De tijd dringt. Instellingen die nog achterlopen, moeten snel in actie komen om de deadline van 17 januari 2025 te halen. DNB blijft nauwlettend toezien op de voortgang van de implementatie en zal de naleving van DORA vanaf volgend jaar strikt handhaven.