DORA komt dichterbij
Waar staat u?
Uitgave voor de financiële sector Leestijd 5 minuten
De Digital Operations Resilience Act is 16 januari 2023 van kracht gegaan, daarmee is de helft van de 24 maandenlange implementatieperiode al voorbij. Compliance met DORA moet voor 17 januari 2025 worden geïmplementeerd. Het is dus tijd om grip te krijgen op wat er volgend jaar nog moet gebeuren om het ICT-beleid van financiële entiteiten klaar voor de keuring te krijgen. Nu de RTS (Regulatory Technical Standards) in hoofdlijnen bekend zijn is het tijd om te versnellen met de activiteiten voor implementatie. Heeft u de governance voor beheersing van ICT-risico’s al op orde?
Voldoet uw beleid aan alle huidige regelgeving en de Good Practices van DNB met betrekking tot informatiebeveiliging? In hoeverre voldoet het daarmee al aan de komende regelgeving? Bent u klaar om van start te gaan met het implementeren van de lagere regelgeving?
Wat is DORA (opfrisser)
Het doel van DORA is om de ICT-risicobeheersing van financiële entiteiten in de Europese Unie te vergroten. Resilience is weerbaarheid, het gaat dan ook niet alleen om het beheersen van interne risico’s door menselijke fouten of onvoorziene omstandigheden, maar met name om het afweren van en rapporteren over de reële dreiging van cyber aanvallen. DORA is in het leven geroepen om risicobeheersing in het gehele financiële systeem van de EU een robuuste basis te geven. Daarbij is extra aandacht voor de weerbaarheid die momenteel te kort schiet en volgens de Europese commissie het gehele financiële systeem kwetsbaar maakt.
Samengevat zijn de belangrijkste doelen voor DORA:
- Het beheersen van digitale risico’s
- Het voorkomen van financiële crises en consumentenschade
- Het aanvullen en harmoniseren van ICT-regelgeving en toezicht door de hele EU
- Het verhogen van de weerbaarheid van het financiële systeem van de EU
DORA agenda 2024
Met slechts een jaar te gaan tot de compliance deadline van 17 januari 2025 is het belangrijk om duidelijk in kaart te brengen hoe de agenda rondom implementatie eruitziet. Wat zijn de mijlpalen en wanneer moeten ze worden behaald? Nu beide batches van de RTS bekend zijn is het tijd om de specifieke vereisten uit deze lagere regelgeving naast uw bestaande beleid te leggen. De definitieve versies van de RTS en ITS zijn/worden 17 januari jl. en 17 juli 2024 vastgelegd, respectievelijk batch 1 en 2.
RTS en ITS in een oogopslag
In Batch 1 vinden we drie RTS en één ITS. Wat is eigenlijk het verschil tussen de twee? De meeste normen in de lagere regelgeving behoren tot de eerste, naar het Nederlands vertaald de technische reguleringsnormen. In de verordening worden deze als volgt beschreven:
(99) Technische reguleringsnormen moeten een consistente harmonisatie van de in deze verordening neergelegde voorschriften bewerkstelligen. In hun rol van organen met hooggespecialiseerde expertise moeten de ETA’s ontwerpen van technische reguleringsnormen ontwikkelen die geen beleidskeuzen inhouden en die aan de Commissie moeten worden voorgelegd. Er moeten technische reguleringsnormen worden ontwikkeld op het gebied van ICT-risicobeheer, rapportage van ernstige ICT-incidenten, tests, en op het gebied van essentiële vereisten voor een degelijke monitoring van het ICT-risico van derde dienstverleners. De Commissie en de ETA’s dienen ervoor te zorgen dat deze normen en vereisten door alle financiële entiteiten kunnen worden toegepast op een wijze die in verhouding staat tot hun omvang en algehele risicoprofiel, alsook de aard, de omvang en de complexiteit van de entiteiten en hun activiteiten [bron 1]VERORDENING (EU) 2022/2554 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 p.21 (nadruk niet in origineel).
De bijbehorende ITS oftewel technische uitvoeringsnormen bevatten kaders en standaardvormen voor de toepassing van de voorschriften uitgestippeld in de verordening en de RTS. In de ITS in batch 1 wordt bijvoorbeeld in detail beschreven wat in het informatieregister voor uitbestedingspartijen moet staan, bedoeld in Artikel 28 derde lid van de verordening. Uit het bovenstaande artikel is op te maken dat, waar de inhoud van de verordening de rode lijn van de wet vormt, de aanvullende normen zijn bedoeld als marge aan weerszijden van deze lijn. De ETA’s hebben de tijd en hun ‘hooggespecialiseerde expertise’ nodig om proportionaliteit en consistentie aan te brengen in de vertaling van de wettelijke voorschriften van de verordening naar een evenwichtig kader voor regulering en toepassing.
Roadmap 2024
Als de governance rondom ICT-risico’s en de implementatie van DORA is vastgelegd, alles reeds voldoet aan de bestaande richtsnoeren, wettelijke kaders en Good Practices en de gap-analyses met de komende wetgeving gemaakt zijn, is het tijd om echt aan de slag te gaan met implementatie. De AFM deelt in aanloop naar de inwerkingtreding van DORA regelmatig informatieve updates en andere publicaties waardevol voor uw voorbereiding. In het eerste kwartaal is het ICT-risicobeheer uitgelicht. De recente DORA-update is gericht op het beheer, de identificatie en rapportage van ICT-gerelateerde incidenten, één van de belangrijke inhoudelijke elementen van DORA.
Om de effecten van deze incidenten te kunnen beperken, is het belangrijk dat deze adequaat worden gedetecteerd, afgehandeld en gemeld. De vereisten die van toepassing zijn voor ICT-gerelateerde incidenten worden in de verordening beschreven in hoofdstuk III (artikel 17-23). Daarnaast wordt een deel van de vereisten verder uitgewerkt in de RTS voor artikel 15, 18(3), 20(a) en de ITS voor artikel 20(b). U kunt dus al aan de slag met het opstellen en implementeren van een beheerproces voor ICT-gerelateerde incidenten. Daarnaast is het waardevol om uw procedures na te gaan waarin wordt beschreven. Hoe incidenten worden geclassificeerd. En kunt u voorbereidingen treffen om tijdig te kunnen rapporteren over ernstige ICT-incidenten.
Bron: https://www.afm.nl/nl-nl/sector/themas/belangrijke-europese-wet–en-regelgeving/dora/publicaties
Update Good Practice Informatiebeveiliging van DNB
Waarom een update van de Good Practice IB van DNB?
- DNB heeft in toezichtonderzoeken en het TIBER-kader positieve voorbeelden van informatiebeveiligingsmaatregelen gezien.
- De financiële sector heeft ook bijgedragen aan verbeteringen in de Good Practice Informatiebeveiliging 2019/2020.
- De Europese Commissie heeft de Digital Operational Resilience Act (DORA) ingesteld om de cyberweerbaarheid van de Europese financiële sector te vergroten, vervangend voor bestaande regelgeving.
Mede door deze ontwikkelingen heeft de DNB in Q4 van 2023 de Good Practice Informatiebeveiliging geactualiseerd.
Deze update benadrukt het blijvende belang van informatiebeveiliging en cybersecurity op strategisch en bestuurlijk niveau, afgestemd op de voortdurend veranderende dreigingen. DNB onderstreept de noodzaak van voortdurende aandacht bij bestuurstafels, Raden van Commissarissen en intern toezicht. Het handhaven en up-to-date houden van kennisniveaus aan de bestuurstafel is een specifiek aandachtspunt, waarbij de Good Practice als leidraad dient voor verdere implementatie.
De belangrijkste wijzigingen op een rij
De Good Practice Informatiebeveiliging 2023 volgt dezelfde structuur als de versie uit 2019/2020, maar biedt verdieping en aanscherping om beter om te gaan met toenemende en veranderende cyberdreigingen. Belangrijke wijzigingen omvatten:
- Aandacht voor strategisch risicomanagement (met inbegrip van regie op derde partijen), een risico gebaseerde toepassing van de controls en operationele weerbaarheid.
- Aandacht voor bedrijfscontinuïteit en crisismanagement.
- Aandacht voor governance en leiderschap met betrekking tot de gewenste rol van het bestuur bij informatiebeveiliging in zijn geheel. Evenals de nadruk op kennisontwikkeling en -behoud van het dagelijks bestuur, RvC, RvT en sleutelfunctiehouders, door het aantoonbaar volgen van op hen toegespitste trainingen, om de belangrijkste IT- en cyberrisico’s te begrijpen en te kunnen adresseren.
Met de geüpdatete Good Practice Informatiebeveiliging 2023 wil DNB instellingen aansporen om voor 17 januari 2025 de DORA-implementatie te bereiken. Instellingen moeten zich hierop voorbereiden, en DNB zal in 2024 beoordelen hoe deze Good Practice zich verhoudt tot de dan vastgestelde DORA-regelgeving. In de Good Practice is aangegeven dat de ontwikkelingen rondom DORA zijn betrokken, maar dat de RTS en ITS nog niet op gedetailleerd niveau waren uitgewerkt. Derhalve kan de Good Practice vooralsnog niet worden gebruikt als vervanging van DORA.
Vanaf het tweede kwartaal van 2024 hanteert DNB in principe de Good Practice Informatiebeveiliging 2023 voor nieuwe onderzoeken en toezichtactiviteiten.
Template Amendement en checklist Pensioenfederatie
Als aanvulling op de Good Practice Informatiebeveiliging heeft de Pensioenfederatie een Template Amendement opgesteld. Het Template Amendement bevat alle clausules die worden voorgeschreven door DORA. Er zijn twee templates, één voor ondersteuning van kritieke of belangrijke functies, en een voor de overige functies. Input van DNB en AFM is meegenomen in het Template Amendement. Daarnaast heeft de Pensioenfederatie een checklist voor DORA-implementatie vastgesteld. Hierin zijn op gedetailleerd niveau alle DORA-vereisten opgenomen.
Disclaimer
Hoewel dit artikel met grote zorgvuldigheid is samengesteld, aanvaarden AethiQs B.V. en alle andere entiteiten, handelsnamen, labels, samenwerkingsverbanden, personen en praktijken die handelen onder de naam en verantwoordelijkheid van AethiQs, geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit deze uitgave zonder hun medewerking. De aangeboden informatie is bedoeld ter algemene informatie en kan niet worden beschouwd als advies. Niets uit dit artikel mag zonder akkoord van de schrijvers worden gebruikt, gedeeld of gekopieerd voor andere doeleinden. Alle rechten voorbehouden aan de schrijvers en AethiQs©. Mei 2024.