Nieuwe Verordening Digitale Operationele Weerbaarheid

2 december 2022 om 10:00

Het is bijna zover, de nieuwe verordening digitale operationele weerbaarheid (DORA) treedt eind dit jaar in werking. De nieuwe verordening komt met heel wat tools om financieel dienstverleners te helpen hun cyberweerbaarheid op orde te krijgen. SVC heeft de mogelijkheid om bij u een Privacy- en informatiebeveiligingsaudit uit te voeren, zodat u weet of u onder andere voldoet aan de nieuwe eisen van de nieuwe verordening DORA.

DORA
Digitalisering is continue in ontwikkeling en heeft tot gevolg dat steeds meer ondernemingen, waaronder de financiële sector  cyberrisico’s lopen. De laatste jaren zijn de digitale ketens groter geworden, is de connectiviteit tussen instellingen en derde partijen gegroeid en is het potentiële aanvalsoppervlak van instellingen toegenomen. Kortom de cyberrisico’s vormen een risico voor de financiële stabiliteit.

De huidige Unieregels, die zien op operationele risico’s en cyberrisico’s, gelden alleen voor een klein aantal typen dienstaanbieders. Sommige lidstaten hebben voor de overige financieel dienstverleners  zelf regelgevende kaders opgesteld. In veel gevallen bestaat er echter alleen algemene normen of zelfs helemaal geen regels. Dit heeft ertoe geleid dat het ICT-governance kader voor financieel dienstverleners versnipperd is geraakt. Vanwege deze redenen heeft de Europese Commissie een voorstel gedaan om in de Unie tot een  wetgevend kader te komen ten aanzien van de digitale weerbaarheid in de gehele financiële sector: Verordening digitale operationele weerbaarheid (Digital Operational Resilience Act – DORA).

Wat brengt DORA met zich mee
De nieuwe verordening zal heel wat eisen stellen aan de cyberweerbaarheid van financieel dienstverleners. Zo zullen financieel dienstverleners verplicht zijn om maatregelen te nemen die het risico van ICT-incidenten verlaagd. Grote ICT-incidenten moeten gemeld worden aan de toezichthouders, zoals bijvoorbeeld de AFM. Hiervoor moeten financieel dienstverleners systemen opzetten die deze grote incidenten zullen monitoren, vaststellen en classificeren.

Verder moeten financieel dienstverleners  periodiek de cyberweerbaarheid testen op paraatheid en eventuele zwaktes en tekortkomingen. De toezichthouder zal significante instellingen gaan aanwijzen die naast het jaarlijks periodiek testen , ook drie geavanceerde ethische hacktesten moeten ondergaan aan de hand van Treat Led Penetration Testing.

Indien financieel dienstverleners gebruik maken van derde partijen ICT-dienstverleners, zullen zij het functioneren van deze diensten moeten blijven monitoren. De verordening komt met verplichte contractuele clausules die zullen gaan gelden tussen de derde partij ICT-dienstverlener en financieel dienstverleners Het gaat in dit kader om afspraken over locaties waar persoonlijke data verwerkt wordt en eventuele exit-strategieën als een financieel dienstverlener  wil overstappen van aanbieder.

Tot slot zal de verordening voorstellen bevatten waarbij het voor financieel dienstverlener wordt toegestaan om onderling informatie over cyberbedreigingen te delen.

Vooruitblik impact DORA
Na de inwerkingtreding hebben instellingen 24 maanden de tijd om DORA te implementeren. Voor sommige financieel dienstverleners kunnen de veranderingen, die DORA met zich mee zal brengen, verregaande gevolgen  hebben. Denk hierbij aan hoge kosten voor de implementatie van deze eisen of een verhoogde regeldruk.

Wat kan SVC voor u doen?
SVC heeft een Privacy- en informatiebeveiligingsaudit . De audit heeft tot doel om in inzage te geven in de beheersing die er, op dit moment van een financieel dienstverlener wordt verwacht. Het normenkader van deze audit is onder andere opgesteld aan de hand van de  volgende wet- en regelgeving:

-  Algemene verordening gegevensbescherming
-  Telecommunicatiewet
-  Principes voor informatiebeveiliging (AFM)
-  ISO 27001 en ISO 27002 (managementsysteem voor informatiebeveiliging)
-  Werkprogramma Risicobeheersing Volmachten

Tijdens de privacy- en informatiebeveiligingsaudit komt een van onze auditors bij u langs op kantoor om te kijken of u voldoet aan de vereisten van dit normenkader. Wanneer uit de audit blijkt dat u voldoet aan de huidige wet- en regelgeving, bent u al een heel eind op weg om u organisatie in overeenstemming te laten zijn met de vereisten van DORA.

Bent u geïnteresseerd in wat wij voor u kunnen betekenen, neem dan contact met ons op.




Proud member of
Logo PIAGROUP
Volg ons op LinkedIn
Op de hoogte blijven het laatste nieuws?
Meld u dan aan voor onze nieuwsbrief!