Adfiz via Bipar en AFM in gesprek over nieuwe wetgeving DORA

Nieuws
geplaatst op 25-8-2021  

De Europese Commissie (EC) heeft een voorstel gedaan voor wetgeving om de digitale weerbaarheid van ondernemingen in de financiële sector te verbeteren (Verordening digitale operationele weerbaarheid oftewel DORA). De discussie hierover (waarbij we betrokken zijn via Bipar en in gesprekken met de AFM) in Europa is nog niet afgerond, maar dat er een fors pakket aan eisen komt voor financiële ondernemingen is wel al duidelijk. DORA is een Europese verordening dus de regels zijn direct in Nederland van toepassing. De beoogde invoering is eind 2022/begin 2023. 

Aanleiding voor de invoering van DORA is dat de afhankelijkheid van digitale processen in de financiële sector toeneemt, net zoals het aantal gerichte cyberaanvallen op financiële organisaties. De gevolgen voor organisaties en hun klanten kunnen groot zijn. In het ergste geval treft het zelfs het financiële systeem als geheel. Digitale weerbaarheid staat daarom hoog op de Europese én nationale agenda’s. 

Met de invoering van DORA wil de EC het volgende bewerkstelligen: 
- harmoniseren van de versnipperde regels binnen de EU ten aanzien van digitale weerbaarheid; 
- een basiskader scheppen voor financiële organisaties waarvoor nog geen regelgeving is; 
- risico’s van uitbesteding door de financiële sector aan kritieke digitale derde dienstverleners beter mitigeren. 

Deze 3 doelen wil de EC met DORA bereiken door eisen te stellen aan: 
- IT-risicomanagement; 
- IT-incidenten; 
- periodieke testen van digitale weerbaarheid; 
- de beheersing van risico’s bij uitbesteding aan (kritieke) derden.  
Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van individuele organisaties. 

De eisen inzake digitale weerbaarheid zijn overigens niet nieuw. Ook nu al gelden (Europese) regels op het gebied van cyberrisico’s, maar deze zijn beperkt en versnipperd. Voor sommige financiële organisaties zijn er alleen regels op landelijk niveau of zijn er zelfs helemaal geen regels. Dat leidt tot inconsistenties in wet- en regelgeving tussen lidstaten en zorgt voor onnodige kosten voor de financiële sector. Met DORA wil de EC één uniform wetgevend kader implementeren. Bestaande wetgeving voor de digitale weerbaarheid blijft overigens gelden.  

Tijdens het Zakelijk Platform, dat we op woensdag 22 september organiseren, staat een expertsessie gepland over DORA. Meer informatie hierover volgt binnenkort. Je kunt je overigens wel al aanmelden voor het Zakelijk Platform. 

Categorien: Cyberrisk