Digital Operational Resilience Act verordening (DORA)
Nieuwe wetgeving: de Digital Operational Resilience Act verordening (DORA)
Het risico op cyberaanvallen in de financiële sector wordt steeds groter. Om dit risico te beperken heeft de Europese Commissie in 2021 een voorstel gedaan voor een verordening om de digitale weerbaarheid van de financiële sector te vergroten: de Digital Operational Resilience Act (DORA). De verordening, die in mei 2022 een voorlopig akkoord heeft bereikt, moet ervoor zorgen dat de financiële sector in Europa bij ernstige operationele verstoringen veerkrachtig kan blijven. De nieuwe verordening zal de huidige wetgeving niet vervangen, maar een aanvulling zijn door een kader te bieden voor het beheer van operationele risico´s in een digitale omgeving. Het doel van de nieuwe wetgeving is om ervoor te zorgen dat financiële instellingen cyberaanvallen kunnen weerstaan door best practices te implementeren, zoals gegevensbescherming en incident response planning.
Inhoud DORA verordening
In de DORA verordening komen vereisten voor de beveiliging van netwerk- en informatiesystemen van bedrijven en organisaties, die actief zijn in de financiële sector en van cruciale derde partijen die hen ICT-gerelateerde diensten verlenen, zoals Cloud platforms en/of gegevensanalyses. De verordening zal belangrijke veranderingen in het leven roepen in de manier waarop financiële dienstverleners omgaan met hun gegevensbeveiliging.
Alle financiële instellingen zullen op grond van de DORA een cyberbeveiligingsprogramma implementeren dat beleidslijnen, procedures en risicobeheersactiviteiten omvat. Het beleid dient jaarlijks gecontroleerd te worden door een externe financiële toezichthouder.
Belangrijkste voorwaarden en doelstellingen uit de DORA
In de DORA verordening zijn de volgende primaire eisen beschreven:
Bedrijven moeten een plan hebben voor de reactie op incidenten, met een gedetailleerde beschrijving van wat een cyberaanval inhoudt, hoe werknemers moeten reageren en hoe de activiteiten worden hersteld als er een inbreuk is;
Bedrijven moeten een cyberbeveiligingsprogramma bijhouden dat een beoordeling omvat van de risico´s van cyberaanvallen en een actieplan om die risico´s te beperken;
Bedrijven moeten hun digitale infrastructuur aan passende beveiligingscontroles onderwerpen. Deze controles omvatten encryptie, authenticatie, toegangscontroles, audit trails, monitoringssystemen, eventmanagement systemen en incident response plannen;
Bedrijven moeten incidenten melden als zij zich voordoen, zodat regelgevers hun kwetsbaarheden kunnen beoordelen en aanbevelingen kunnen doen om hun beveiliging te verbeteren;
Bedrijven moeten een plan hebben om de continuïteit van de dienstverlening te waarborgen bij eventuele onderbrekingen.
DORA is een eenduidig wettelijk kader voor digitale weerbaarheid van de financiële sector in alle EU-landen. Daarmee zorgt het voor uniformering van wetgeving en een gelijk speelveld voor financiële dienstverleners binnen de Europese Unie. DORA stelt eisen aan de risico´s van uitbesteding aan kritieke derde dienstverleners, om deze beter te beheersen.
DORA heeft ook als doel om een veel duidelijkere basis te leggen voor Europese financiële toezichthouders.
Quote: Een gelijk speelveld voor financiële dienstverleners binnen de Europese Unie. DORA stelt eisen aan de risico´s van uitbesteding aan kritieke derde dienstverleners, om deze beter te beheersen.
Voor verdere toelichting kunt u geheel vrijblijvend contact met ons opnemen via ons
contactformulier of bel vrijblijvend naar: 030- 600 5000