Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Blogs / 

DORA officieel van toepassing

IT, Privacy & Cybersecurity

30 januari 2025

Geschreven door

Jeroen van Helden

Blog Image
Met ingang van 17 januari 2025 moeten financiële entiteiten voldoen aan de cybersecurity verplichtingen in de Digital Operational Resilience Act (DORA). Per diezelfde datum zijn diverse richtsnoeren van toezichthouders die overlap vertonen met DORA ingetrokken. DORA beoogt de Europese financiële sector als geheel digitaal operationeel weerbaarder te maken.

Een lex specialis voor de financiële sector

DORA is een verordening die door de Uniewetgever gelijktijdig werd aangenomen met de NIS2-richtlijn. Waar NIS2, kort samengevat, van toepassing is op alle middelgrote of grote organisaties die tot de kritieke infrastructuur worden gerekend, is DORA van toepassing op financiële dienstverleners, ongeacht hun grootte of omvang. Bij samenloop tussen NIS2 en DORA hebben de verplichtingen in DORA voorrang.

Level 1 en Level 2

DORA (level 1) geeft de Commissie de bevoegdheid om lagere regelgeving vast te stellen. Deze lagere (level 2) regelgeving specificeert hoe financiële entiteiten aan bepaalde verplichtingen in DORA moeten voldoen. Level 2 regelgeving wordt voorbereid door de Europese toezichthoudende autoriteiten (EBA, EIOPA, ESMA). Een deel van de level 2 regelgeving is inmiddels door de Commissie vastgesteld. Een ander deel is al wel in concept bekend, maar nog niet formeel vastgesteld door de Commissie en is tot die tijd nog niet van toepassing.

ICT-risicobeheer

Financiële entiteiten moeten op grond van DORA voldoen aan verschillende verplichtingen, waaronder:

  • Zij moeten beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer. Dit kader moet bestaan uit strategieën, beleidslijnen, procedures, protocollen en instrumenten die nodig zijn om gegevens en ICT-activa, incl. relevante fysieke infrastructuur, naar behoren te beschermen tegen ICT-risico’s.
  • Zij moeten beschikken over een incidentbeheerproces, ICT-gerelateerde incidenten registreren en ernstige ICT-gerelateerde incidenten melden aan de toezichthouder en klanten.
  • Zij moeten beschikken over een degelijk en alomvattend programma voor het testen van hun digitale operationele weerbaarheid. Bepaalde categorieën financiële entiteiten kunnen bovendien worden verplicht om extra geavanceerde testen uit te voeren in de vorm van Thread Led Penetration Testing (TLPT).
  • Zij moeten een beleid hebben voor de beheersing van ICT-risico’s bij uitbesteding en voor iedere uitbesteding een risicoanalyse uitvoeren en due diligence doen.
  • Contracten met leveranciers van ICT-diensten moeten voldoen aan bepaalde inhoudelijke eisen.

Opleidingsverplichting

Ook rust op bestuurders van financiële entiteiten de verplichting om hun kennis en vaardigheden op het gebied van cybersecurity actief te onderhouden, o.a. door het volgen van passende opleidingen. In dit kader bieden wij samen met Secura een 1-daagse in-company training aan, de DORA boardroom training.

Vragen?

Wilt u meer weten over DORA of bent u geïnteresseerd in onze DORA boardroom training, neem dan nu contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity. Wij vertellen u graag meer.

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om u in te schrijven voor de nieuwsbrief!