dvelop-logo-sw

DORA-verordening

DORA-verordening vanaf januari 2025

Informatie over de DORA-regeling

Mensen hebben te maken met DORA-regelgeving

Het toenemende aantal digitale aanvallen op de wereldeconomie vraagt om een effectieve oplossing. DORA (Digital Operational Resilience Act) is gericht op het voorkomen, beperken en minimaliseren van de gevolgen van dergelijke crises door middel van proactieve maatregelen en beschermingsmechanismen.

DORA-verordening – Digital Operational Resilience Act

In een steeds meer gedigitaliseerde wereld zijn de veiligheid en veerkracht van de financiële sector cruciale prioriteiten geworden. De EU heeft gereageerd door de Digital Operational Resilience Act (DORA) in te voeren, een verordening die is ontworpen om de digitale operationele capaciteiten en cyberbeveiliging van financiële instellingen te versterken.

Wat is DORA?

DORA wil de digitale operabiliteit en veerkracht van bedrijven in de financiële sector verbeteren, en zo het vertrouwen van consumenten en investeerders in de financiële markten behouden. Als EU-verordening is het rechtstreeks van toepassing in alle lidstaten zonder dat het in nationale wetgeving hoeft te worden omgezet. DORA stelt een uniform Europees regelboek op voor digitale veerkracht en cyberbeveiliging in de financiële sector, met strikte vereisten om financiële instellingen voor te bereiden op digitale verstoringen en beveiligingsincidenten.

Waarom is digitale veerkracht belangrijk?

Digitale veerkracht verwijst naar het vermogen van een organisatie om te herstellen van digitale aanvallen en zich aan te passen aan toekomstige bedreigingen. Gezien het toenemende aantal cyberaanvallen is digitale veerkracht een prioriteit geworden.

  • Soorten aanvallen : Deze omvatten diefstal van IT-apparatuur en data, industriële spionage (zowel digitaal als analoog) en sabotage. Cyberaanvallen zijn goed voor 72% van de totale schade.
  • Omvang van de impact : 2023 zag een toename van 72% in datalekken sinds 2021, wat het vorige record aller tijden was. Wereldwijd kostte een datalek gemiddeld £ 4,88 miljoen in 2024.
  • Oorsprong : Veel aanslagen worden toegeschreven aan georganiseerde misdaad, vooral uit Rusland en China.
  • Internationale dimensie : Veiligheidsautoriteiten worden vaak geconfronteerd met uitdagingen bij het voorkomen of vervolgen van cyberaanvallen die in het buitenland plaatsvinden. Cybercriminaliteit zal naar verwachting met 15% groeien in 2024, en zal tegen het einde van 2025 een wereldwijd totaal van £ 10 biljoen bereiken.

Concept van “veerkracht”

Oorspronkelijk uit de psychologie, beschrijft veerkracht het vermogen van systemen om externe schokken te absorberen. In het bedrijfsleven verwijst het naar het vermogen van een organisatie om verstoringen te weerstaan zonder essentiële functies in gevaar te brengen. Sinds de jaren 90 wordt het concept toegepast op bedrijven en sinds 2001 is het een sleutelterm in de politieke wetenschap, met name in relatie tot terrorisme en criminaliteit. Meer recentelijk heeft het aan belang gewonnen bij het aanpakken van de gevolgen van klimaatverandering.

Doelstellingen en motivaties van DORA

Een belangrijk doel van DORA is om het anticiperend vermogen van financiële instellingen te verbeteren. Dit omvat de vroege identificatie van potentiële crises, incidenten of veranderingen, wat proactieve voorbereiding en minimalisering van negatieve impact mogelijk maakt.

DORA is ook gericht op het verbeteren van de veerkracht van financiële instellingen, door ervoor te zorgen dat basisoperaties tijdens crises doorgaan om stabiliteit te behouden en schade te beperken. Verder richt de regelgeving zich op het verbeteren van herstelmogelijkheden , waardoor instellingen snel kunnen herstellen en de operationele impact op de lange termijn kunnen minimaliseren.

Wat is er nieuw bij DORA?

Objectief

DORA streeft ernaar om Europese en nationale standaarden te harmoniseren om de digitale operationele veerkracht van financiële dienstverleners en ICT-derdepartijdienstverleners te versterken. Deze harmonisatie streeft ernaar om een robuust beveiligingsniveau te vestigen dat kwetsbaarheden in digitale infrastructuur aanpakt.

Noodzaak tot actie

Er is bijzondere aandacht nodig voor ICT-risicomanagement, de ontwikkeling van risicostrategieën en de mechanismen die ICT-derden gebruiken om risico's te identificeren en beheren.

Uitdagingen

De nieuwe DORA-verordening brengt verschillende uitdagingen met zich mee, met name met betrekking tot de brede onderwerpen die van invloed zijn op talrijke belanghebbenden in de financiële dienstverlening en ICT-sectoren. De korte implementatietermijn tot januari 2025 vereist een snelle harmonisatie van definities en de afronding van technische regelgevingsnormen.

Wie wordt getroffen door DORA?

DORA is primair gericht op het Europese financiële systeem. In het VK heeft het invloed op alle bedrijven die worden gereguleerd door The Financial Conduct Authority, waaronder:

  • Banken en verzekeringsmaatschappijen
  • Effectenbedrijven (zoals effectenmakelaars)
  • Betalingsdienstaanbieders, waaronder e-geldinstellingen
  • Kredietinstellingen en financiële dienstverleners die onder de BaFin-regelgeving vallen

Daarnaast kunnen bedrijven in de ICT-sector (d.w.z. bedrijven uit de informatie- en communicatietechnologiesector) die diensten aanbieden aan de financiële markt, worden geclassificeerd als kritische aanbieders en onderworpen aan direct toezicht door toezichthoudende autoriteiten. Daarnaast zal een centraal meldregister voor incidenten of aanbieders worden geïmplementeerd. Dit betekent dat alle IHK-dienstverleners die zich richten op de financiëledienstenmarkt in Europa ook op de hoogte moeten zijn van de DORA-verordening en de effecten daarvan op hun eigen systemen.

Uitvoeringsdeadline

Hoewel DORA op 17 januari 2023 in werking is getreden, hebben financiële instellingen tot 17 januari 2025 de tijd om aan de nieuwe vereisten te voldoen.

Belangrijkste componenten van DORA

De Digital Operational Resilience Act (DORA) omvat verschillende belangrijke gebieden, zoals:

  1. ICT-risicomanagement : Instellingen moeten uitgebreide risicomanagementkaders implementeren voor ICT-gerelateerde risico's.
  2. Incidentrapportage : Financiële instellingen moeten ICT-gerelateerde incidenten, zoals cyberaanvallen of gegevensverlies, melden en documenteren.
  3. Operationele veerkrachttesten : Regelmatige tests van de digitale veerkracht door middel van penetratietesten, scenario-analyse en noodoefeningen.
  4. Risicomanagement van derden : Zorgen voor een goed beheer van relaties met ICT-dienstverleners, inclusief beveiligingsnormen in contracten.
  5. Monitoring van cruciale dienstverleners : een raamwerk voor het monitoren van cruciale ICT-dienstverleners van derden om naleving van beveiligings- en veerkrachtvereisten te garanderen.

Nieuwe vereisten vergeleken met bestaande regelgeving

DORA introduceert nieuwe maatregelen en principes vergeleken met bestaande wettelijke vereisten, met als doel de digitale operationele veerkracht van financiële instellingen te verbeteren. Deze nieuwe vereisten omvatten verschillende aspecten van ICT-risicobeheer, beheer door derden en het monitoren van kritieke dienstverleners. Hieronder volgt een overzicht van de nieuwe vereisten onder DORA:

1. ICT-risicomanagement

Financiële instellingen moeten een uitgebreid ICT-risicomanagement implementeren, dat de identificatie, beoordeling, monitoring en beperking van ICT-risico's omvat.

Financiële instellingen zijn verplicht om ICT-gerelateerde incidenten, zoals cyberaanvallen, gegevensverlies en andere beveiligingsinbreuken die de operationele veerkracht kunnen aantasten, te melden en te documenteren.

3. Digitale operationele veerkracht testen

Regelmatig testen van digitale operationele veerkracht is verplicht. Dit omvat penetratietesten, scenario-analyses en noodoefeningen om de veerkracht tegen ICT-risico's te beoordelen.

4. Belangrijkste principes voor effectief ICT-risicobeheer van derden

Financiële instellingen moeten ervoor zorgen dat hun relaties met externe leveranciers goed worden beheerd. Dit omvat het identificeren en beoordelen van de risico's die gepaard gaan met het uitbesteden van ICT-diensten. Contracten met externe partijen moeten duidelijke bepalingen bevatten over de beveiligingsnormen en -procedures waaraan zij zich moeten houden.

5. Monitoringkader voor kritische ICT-dienstverleners van derden

Er moet een kader worden opgezet om toezicht te houden op kritische ICT-dienstverleners van derden, zodat zij voldoen aan de overeengekomen contractuele vereisten op het gebied van beveiliging en veerkracht.

6. Informatie-uitwisselingsovereenkomsten (optioneel)

Financiële instellingen kunnen overeenkomsten voor het delen van informatie sluiten met andere instellingen of autoriteiten om het bewustzijn van bedreigingen en kwetsbaarheden te vergroten.

De rol van IT-serviceproviders in relatie tot DORA

IT-serviceproviders zoals d.velop kunnen een belangrijke bijdrage leveren aan de implementatie van de DORA-vereisten. Hun belangrijkste taak is om de DORA-gereedheid van hun eigen producten en oplossingen te waarborgen, zodat klanten kunnen vertrouwen op d.velop-systemen bij het beoordelen van hun IT-landschappen. Na eerste consultaties met onafhankelijke experts is d.velop al goed gepositioneerd om aan deze eisen te voldoen. Dit weerspiegelt ons zelfbeeld als Europese softwarefabrikant die een productportfolio aanbiedt dat voldoet aan de hoogste wettelijke normen. Zo vertrouwt BaFin, de belangrijkste toezichthouder van de Duitse financiële sector, op d.velop-oplossingen in het hele bedrijf.

Veelgestelde vragen (FAQ)

Bedrijven stellen vaak dezelfde vragen over de nieuwe DORA-regeling. Wij hebben de belangrijkste voor u verzameld en beantwoord.

Wat is de DORA-regeling?

DORA is een EU-wet die is ontworpen om de bescherming van financiële instellingen tegen cyberaanvallen en IT-problemen te versterken. Het schetst regels voor veilige en veerkrachtige IT-systemen in de financiële sector.

Wie wordt getroffen door DORA?

DORA is van toepassing op alle ondernemingen in het Europese financiële systeem, met name die welke onder toezicht staan van de Financial Conduct Authority in het Verenigd Koninkrijk.

Wat zijn de voordelen van DORA voor financiële ondernemingen?

– Verbeterde bescherming tegen cyberaanvallen
– Sterkere IT-systemen met minder uitval
– Gestandaardiseerde EU-brede regelgeving
– Verbeterd beheer van IT-risico’s

Waarom is DORA belangrijk?

DORA is cruciaal omdat het de beveiliging van de IT-systemen van financiële bedrijven versterkt en helpt de toenemende dreiging van cyberaanvallen te beperken. In 2023 leidden klachten over cybercriminaliteit tot £ 12,5 miljard aan verliezen, wat een stijging van £ 2 miljard is ten opzichte van 2022. Dit is meer dan drie keer zoveel als het verlies in 2019, ook al is het aantal klachten in die tijd slechts verdubbeld.

Software-Demo

Maak kennis met de d.velop software

Vraag uw gepersonaliseerde live demo van de d.velop software aan met slechts een paar klikken. Laat ons u de software live laten zien en stel uw vragen direct. Vul gewoon het formulier in en wij nemen contact met u op.