Speciale standaarden voor DORA worden binnenkort door de ESA’s gepubliceerd

Speciale standaarden voor DORA worden binnenkort door de ESA’s gepubliceerd

Financiële instellingen maar ook de allergrootste intermediairs (250 fte en meer) vallen onder DORA, de Europese verordening inzake digitale weerbaarheid (zie ook ons kennisportaal Digitale weerbaarheid). De verordening zelf is gepubliceerd en direct van toepassing binnen de EU.

DORA bevat uniforme regels. Ook de nadere invulling voor de praktijk van deze regels, de zogenaamde RTS’en.(regulatory technical standards), gebeurt door Europa, door de (gezamenlijke) Europese toezichthouders (ESA’s). Deze toezichthouders hebben standaarden ontwikkeld die instellingen moeten gebruiken om aan hun nationale toezichthouders over hun DORA compliancy te rapporteren. Deze standaarden worden binnenkort gepubliceerd.

Door de rapportage op basis van de standaarden krijgen de nationale toezichthouders inzicht in verschillende facetten van digitale weerbaarheid van een financiële instelling. De standaarden gaan onder andere over:

  • melden van (cyber) incidenten die volgens standaarden gemeld moeten worden bij de nationale autoriteiten,
  • de afspraken die instellingen hebben gemaakt met hun ICT leveranciers en
  • de inrichting van control van het ICT Risk framework en het Risk management van de instelling.  

Een fors pakket aan rapportage verplichtingen voor financiële instellingen.

Tijdens een BIPAR webinar is door EIOPA (de Europese toezichthouder) de opzet van de nieuwe standaarden toegelicht. EIOPA zegt bij de opzet van de standaarden zoveel als mogelijk rekening te hebben gehouden met risico-zwaarte en de proportionele toepassing. Eén van de vragen van de deelnemers ging over de mogelijkheid om zaken op groepsniveau te rapporteren. De regels zien op ondernemersniveau, maar EIOPA onderzoekt nog waar rapportage op groepsniveau mogelijk is.

De volledige presentatie is bij ons beschikbaar. Als je hier interesse in hebt kun je de presentatie opvragen bij Ludger de Bruijn, l.de.bruijn@adfiz.nl

De standaarden van EIOPA komen niets te vroeg. De deadline voor implementatie van de nieuwe DORA regels is 17 januari 2025. EIOPA erkent dat ook dan de markt nog tijd nodig zal hebben om geheel te voldoen aan de regels.  

Volg via ons portaal de laatste ontwikkelingen in zake DORA.