De Digital Operational Resilience Act (DORA) (NL)

De Digital Operational Resilience Act (DORA) is een Europese verordening die op 16 januari 2023 in werking is getreden en vanaf 17 januari 2025 van toepassing zal zijn. Het doel van DORA is om de IT-beveiliging van financiële entiteiten zoals banken, verzekeringsmaatschappijen en beleggingsondernemingen te versterken. Hierdoor kan de financiële sector in Europa veerkrachtig blijven bij ernstige operationele verstoringen.

Waarom is DORA nodig? 

De financiële sector is steeds afhankelijker van technologie en techbedrijven om financiële diensten te leveren. Dit maakt financiële entiteiten kwetsbaar voor cyberaanvallen of incidenten. Wanneer ICT-risico’s niet goed worden beheerd, kunnen ze leiden tot verstoringen van financiële diensten die over grenzen heen worden aangeboden. Dit kan op zijn beurt invloed hebben op andere bedrijven, sectoren en zelfs op de rest van de economie. Hier komt de Digital Operational Resilience Act, oftewel DORA, in beeld.

Wat omvat DORA? 

DORA introduceert uniforme en geharmoniseerde principes voor het beheer van cyberrisico’s. Het zorgt ervoor dat rapportage over cyberincidenten gestroomlijnd wordt en dat derde partijen onder toezicht staan.

Checklist

Hier is een checklist die financiële entiteiten, waaronder verzekeraars en verzekeringstussenpersonen, kunnen volgen bij het implementeren van de Digital Operational Resilience Act (DORA):

  • Bewustwording en betrokkenheid:

    • Zorg ervoor dat het management en alle relevante afdelingen op de hoogte zijn van DORA en het belang van operationele veerkracht.

  • Risicobeoordeling:
    • Identificeer de belangrijkste ICT-risico’s waarmee jouw organisatie wordt geconfronteerd.
    • Beoordeel de impact van deze risico’s op de bedrijfsvoering en klantenservice.
  • ICT-risicobeheerbeleid en -procedures:

    • Stel gedocumenteerde beleidslijnen en procedures op voor ICT-risicobeheer

    • Definieer verantwoordelijkheden en rollen binnen de organisatie.

  • Beheer van ICT-risico’s van derden:
    • Evalueer de risico’s die voortvloeien uit het gebruik van externe ICT-dienstverleners.
    • Implementeer contractuele regelingen om deze risico’s te beherens.
  • Incidentbeheer met betrekking tot ICT:
    • Ontwikkel een proces voor het detecteren, beheren en melden van ICT-gerelateerde incidenten.
    • Stel vroege waarschuwingsindicatoren vast.
  • Informatie-uitwisseling over cyberdreigingen:
    • Werk samen met andere financiële instellingen en relevante instanties om informatie over cyberdreigingen uit te wisselens.
  • Testen en oefenen:
    • Voer regelmatig tests en oefeningen uit om de operationele veerkracht te evalueren.
    • Identificeer verbeterpunten en pas beleid en procedures dienovereenkomstig aan.
  • Betrokkenheid van het personeel:

    • Train medewerkers over ICT-risico’s en hoe ze moeten reageren op incidenten.

    • Creëer bewustzijn binnen de organisatie.
  • Monitoring en rapportage:
    • Implementeer monitoringtools om ICT-incidenten te detecteren.
    • Rapporteer incidenten aan relevante autoriteiten zoals vereist.
  • Specifieke aandachtspunten voor micro-ondernemingen:
    • Micro-ondernemingen hebben mogelijk beperkte middelen. Ze moeten echter nog steeds voldoen aan DORA.
    • Vereenvoudig procedures waar mogelijk, maar zorg ervoor dat essentiële maatregelen worden genomen.

Amankwah Law is een advocatenkantoor gespecialiseerd in aansprakelijkheidsrecht, verzekeringsrecht en letselschade.

Linkedin

Verken

Diensten

Contact