DORA komt dichterbij

Waar staat u?

Uitgave voor de financiële sector Leestijd 5 minuten

De Digital Operations Resilience Act is 16 januari 2023 van kracht gegaan, daarmee is de helft van de 24 maandenlange implementatieperiode al voorbij. Compliance met DORA moet voor 17 januari 2025 worden geïmplementeerd. Het is dus tijd om grip te krijgen op wat er volgend jaar nog moet gebeuren om het ICT-beleid van financiële entiteiten klaar voor de keuring te krijgen. Nu de RTS (Regulatory Technical Standards) in hoofdlijnen bekend zijn is het tijd om te versnellen met de activiteiten voor implementatie. Heeft u de governance voor beheersing van ICT-risico’s al op orde?

Voldoet uw beleid aan alle huidige regelgeving en de Good Practices van DNB met betrekking tot informatiebeveiliging? In hoeverre voldoet het daarmee al aan de komende regelgeving? Bent u klaar om van start te gaan met het implementeren van de lagere regelgeving?

Een groot deel van de vereisten uit de DORA heeft betrekking op bestaand beleid en lopende overeenkomsten. Een goede eerste stap om te zorgen dat uw organisatie voldoet aan de vereisten van DORA is daarom kijken naar het bestaande beleid. Daarmee stellen we de vraag; wat gebeurt er al? En daarna pas; wat moet er nog gebeuren? Afgelopen jaar zijn er gap-analyses gemaakt voor de regelgeving in het publicatieblad van december 2022. De lagere regelgeving bestaande uit de Regulatory Technical Standards en de Implementing Technical Standards zijn recent voor een deel definitief gemaakt, de tweede batch zal 17 juli van dit jaar definitief worden. Alle inhoud van DORA is nu bijna bekend, op een eventuele aanpassing na. Het is nu tijd om de laatste gap-analyses te maken en echt van start te gaan met de implementatie.

Wat is DORA (opfrisser)

Het doel van DORA is om de ICT-risicobeheersing van financiële entiteiten in de Europese Unie te vergroten. Resilience is weerbaarheid, het gaat dan ook niet alleen om het beheersen van interne risico’s door menselijke fouten of onvoorziene omstandigheden, maar met name om het afweren van en rapporteren over de reële dreiging van cyber aanvallen. DORA is in het leven geroepen om risicobeheersing in het gehele financiële systeem van de EU een robuuste basis te geven. Daarbij is extra aandacht voor de weerbaarheid die momenteel te kort schiet en volgens de Europese commissie het gehele financiële systeem kwetsbaar maakt.

Samengevat zijn de belangrijkste doelen voor DORA:

  • Het beheersen van digitale risico’s
  • Het voorkomen van financiële crises en consumentenschade
  • Het aanvullen en harmoniseren van ICT-regelgeving en toezicht door de hele EU
  • Het verhogen van de weerbaarheid van het financiële systeem van de EU

DORA agenda 2024

Met slechts een jaar te gaan tot de compliance deadline van 17 januari 2025 is het belangrijk om duidelijk in kaart te brengen hoe de agenda rondom implementatie eruitziet. Wat zijn de mijlpalen en wanneer moeten ze worden behaald? Nu beide batches van de RTS bekend zijn is het tijd om de specifieke vereisten uit deze lagere regelgeving naast uw bestaande beleid te leggen. De definitieve versies van de RTS en ITS zijn/worden 17 januari jl. en 17 juli 2024 vastgelegd, respectievelijk batch 1 en 2. 


RTS en ITS in een oogopslag
In Batch 1 vinden we drie RTS  en één ITS. Wat is eigenlijk het verschil tussen de twee? De meeste normen in de lagere regelgeving behoren tot de eerste, naar het Nederlands vertaald de technische reguleringsnormen. In de verordening worden deze als volgt beschreven:

(99) Technische reguleringsnormen moeten een consistente harmonisatie van de in deze verordening neergelegde voorschriften bewerkstelligen. In hun rol van organen met hooggespecialiseerde expertise moeten de ETA’s ontwerpen van technische reguleringsnormen ontwikkelen die geen beleidskeuzen inhouden en die aan de Commissie moeten worden voorgelegd. Er moeten technische reguleringsnormen worden ontwikkeld op het gebied van ICT-risicobeheer, rapportage van ernstige ICT-incidenten, tests, en op het gebied van essentiële vereisten voor een degelijke monitoring van het ICT-risico van derde dienstverleners. De Commissie en de ETA’s dienen ervoor te zorgen dat deze normen en vereisten door alle financiële entiteiten kunnen worden toegepast op een wijze die in verhouding staat tot hun omvang en algehele risicoprofiel, alsook de aard, de omvang en de complexiteit van de entiteiten en hun activiteiten [bron 1]VERORDENING (EU) 2022/2554 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 p.21 (nadruk niet in origineel).

De bijbehorende ITS oftewel technische uitvoeringsnormen bevatten kaders en standaardvormen voor de toepassing van de voorschriften uitgestippeld in de verordening en de RTS. In de ITS in batch 1 wordt bijvoorbeeld in detail beschreven wat in het informatieregister voor uitbestedingspartijen moet staan, bedoeld in Artikel 28 derde lid van de verordening. Uit het bovenstaande artikel is op te maken dat, waar de inhoud van de verordening de rode lijn van de wet vormt, de aanvullende normen zijn bedoeld als marge aan weerszijden van deze lijn. De ETA’s hebben de tijd en hun ‘hooggespecialiseerde expertise’ nodig om proportionaliteit en consistentie aan te brengen in de vertaling van de wettelijke voorschriften van de verordening naar een evenwichtig kader voor regulering en toepassing.


Roadmap 2024
Als de governance rondom ICT-risico’s en de implementatie van DORA is vastgelegd, alles reeds voldoet aan de bestaande richtsnoeren, wettelijke kaders en Good Practices en de gap-analyses met de komende wetgeving gemaakt zijn, is het tijd om echt aan de slag te gaan met implementatie. De aanbeveling van de AFM is om in het eerste kwartaal het ICT-risicobeheer zelf op orde te krijgen, en vervolgens het tweede kwartaal te besteden aan het beleid rondom ICT-gerelateerde incidenten. Het testen van de operationele weerbaarheid komt dan in het derde kwartaal aan bod, en het laatste kwartaal is gereserveerd voor de laatste loodjes met een vooruitblik naar 2025.

    Update Good Practice Informatiebeveiliging van DNB

    Waarom een update van de Good Practice IB van DNB?

    1. DNB heeft in toezichtonderzoeken en het TIBER-kader positieve voorbeelden van informatiebeveiligingsmaatregelen gezien. 
    2. De financiële sector heeft ook bijgedragen aan verbeteringen in de Good Practice Informatiebeveiliging 2019/2020. 
    3. De Europese Commissie heeft de Digital Operational Resilience Act (DORA) ingesteld om de cyberweerbaarheid van de Europese financiële sector te vergroten, vervangend voor bestaande regelgeving.

    Mede door deze ontwikkelingen heeft de DNB in Q4 van 2023 de Good Practice Informatiebeveiliging geactualiseerd.

    Deze update benadrukt het blijvende belang van informatiebeveiliging en cybersecurity op strategisch en bestuurlijk niveau, afgestemd op de voortdurend veranderende dreigingen. DNB onderstreept de noodzaak van voortdurende aandacht bij bestuurstafels, Raden van Commissarissen en intern toezicht. Het handhaven en up-to-date houden van kennisniveaus aan de bestuurstafel is een specifiek aandachtspunt, waarbij de Good Practice als leidraad dient voor verdere implementatie.

    De belangrijkste wijzigingen op een rij
    De Good Practice Informatiebeveiliging 2023 volgt dezelfde structuur als de versie uit 2019/2020, maar biedt verdieping en aanscherping om beter om te gaan met toenemende en veranderende cyberdreigingen. Belangrijke wijzigingen omvatten:

    • Aandacht voor strategisch risicomanagement (met inbegrip van regie op derde partijen), een risico gebaseerde toepassing van de controls en operationele weerbaarheid.
    • Aandacht voor bedrijfscontinuïteit en crisismanagement.
    • Aandacht voor governance en leiderschap met betrekking tot de gewenste rol van het bestuur bij informatiebeveiliging in zijn geheel. Evenals de nadruk op kennisontwikkeling en -behoud van het dagelijks bestuur, RvC, RvT en sleutelfunctiehouders, door het aantoonbaar volgen van op hen toegespitste trainingen, om de belangrijkste IT- en cyberrisico’s te begrijpen en te kunnen adresseren.

    Met de geüpdatete Good Practice Informatiebeveiliging 2023 wil DNB instellingen aansporen om voor 17 januari 2025 de DORA-implementatie te bereiken. Instellingen moeten zich hierop voorbereiden, en DNB zal in 2024 beoordelen hoe deze Good Practice zich verhoudt tot de dan vastgestelde DORA-regelgeving. In de Good Practice is aangegeven dat de ontwikkelingen rondom DORA zijn betrokken, maar dat de RTS en ITS nog niet op gedetailleerd niveau waren uitgewerkt. Derhalve kan de Good Practice vooralsnog niet worden gebruikt als vervanging van DORA.

    Vanaf het tweede kwartaal van 2024 hanteert DNB in principe de Good Practice Informatiebeveiliging 2023 voor nieuwe onderzoeken en toezichtactiviteiten.

    Template Amendement en checklist Pensioenfederatie
    Als aanvulling op de Good Practice Informatiebeveiliging heeft de Pensioenfederatie een Template Amendement opgesteld. Het Template Amendement bevat alle clausules die worden voorgeschreven door DORA. Er zijn twee templates, één voor ondersteuning van kritieke of belangrijke functies, en een voor de overige functies. Input van DNB en AFM is meegenomen in het Template Amendement. Daarnaast heeft de Pensioenfederatie een checklist voor DORA-implementatie vastgesteld. Hierin zijn op gedetailleerd niveau alle DORA-vereisten opgenomen.

    Disclaimer
    Hoewel dit artikel met grote zorgvuldigheid is samengesteld, aanvaarden AethiQs B.V. en alle andere entiteiten, handelsnamen, labels, samenwerkingsverbanden, personen en praktijken die handelen onder de naam en verantwoordelijkheid van AethiQs, geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit deze uitgave zonder hun medewerking. De aangeboden informatie is bedoeld ter algemene informatie en kan niet worden beschouwd als advies. Niets uit dit artikel mag zonder akkoord van de schrijvers worden gebruikt, gedeeld of gekopieerd voor andere doeleinden. Alle rechten voorbehouden aan de schrijvers en AethiQs©. Mei 2024.

    Ga naar de inhoud