Op 27 december 2022 is de Digital Operational Resilience Act voor de financiële sector (DORA) gepubliceerd in het Publicatieblad van de Europese Unie (EU). Dat betekent dat er nu duidelijke tijdlijnen zijn voor wanneer financiële entiteiten DORA moeten hebben geïmplementeerd: organisaties moeten uiterlijk op 17 januari 2025 klaar zijn met implementeren.
Het belangrijkste doel van de verordening is het versterken van de IT-beveiliging van financiële entiteiten zoals banken, verzekeringsmaatschappijen en beleggingsondernemingen. De EU acht dit noodzakelijk vanwege het toenemende risico dat u afhankelijk bent van ICT-gerelateerde diensten die steeds kwetsbaarder worden voor verstoringen en cyberaanvallen.
Om dit tegen te gaan, behandelt DORA vier onderwerpen die gericht zijn op het vergroten van de veerkracht van financiële entiteiten. Dit zijn: ICT-risicobeheer, rapportage van cyberincidenten, testen van digitale operationele weerbaarheid en ICT-risicobeheer door derden.
Ondanks het feit dat DORA de eerste wetgeving op Europees niveau is die zich bezighoudt met het onderwerp digitale operationele veerkracht voor financiële diensten, is de verordening een stukje van een grotere puzzel die door de EU is samengesteld. DORA maakt namelijk deel uit van de strategie 'Een Europa dat klaar is voor het digitale tijdperk', die meer dan 14 regelgevende initiatieven omvat die gericht zijn op het vormgeven van de digitale toekomst van Europa in het komende decennium. Naast DORA regelgeving, zoals de Artificial Intelligence Act (AI Act), de Digital Services Act (DSA), de Data Act en vele andere zal het digitale regelgevingslandschap in Europa transformeren.
In deze golf van aankomende regelgeving denken we dat het van cruciaal belang is om gemeenschappelijke thema's binnen de regelgeving te herkennen en gebruik te maken van bestaande nalevingspraktijken om een effectieve aanpak te ontwikkelen om dit regelgevingspakket als geheel aan te pakken.
We hebben vijf gemeenschappelijke thema's geïdentificeerd die terugkomen in de komende digitale regelgeving en ook teruggrijpen op reeds bestaande wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Naar onze mening is het begrijpen van deze gemeenschappelijke thema's essentieel om DORA en de rest van het Europese digitale regelgevingspakket op een efficiënte manier te kunnen implementeren. Laten we deze thema's eens onderzoeken en kijken hoe het allemaal in elkaar past.
Veel nieuwe regelgeving introduceert vergelijkbare meldingsvereisten in geval van een incident, datalek of een andere gebeurtenis aan de overheid of toezichthoudende autoriteiten. DORA vormt hierop geen uitzondering: volgens de verordening moeten financiële entiteiten grote ICT-gerelateerde incidenten binnen een bepaalde termijn melden aan de bevoegde autoriteiten. De meldingsverplichtingen houden hier niet op, want ook organisaties zullen het grote ICT-gerelateerde incident zonder onnodige vertraging moeten melden aan getroffen gebruikers en klanten.
Klinkt bekend? Dat klopt: dit lijkt sterk op de meldplicht voor inbreuken zoals gevonden in de AVG, voor inbreuken in verband met persoonsgegevens. En als u in de andere aankomende digitale regelgeving duikt, zal u merken dat het een terugkerend thema is.
Een ander terugkerend thema is de verplichting om documentatie, archieven en registraties voor het loggen van informatie en activiteiten vast te leggen en te bewaren. In het geval van DORA zijn financiële entiteiten verplicht om alle significante cyberdreigingen te registreren, wat een meer volwassen incidentbeheercapaciteit vereist om cyberincidenten te monitoren, af te handelen en op te lossen. Dit omvat het documenteren en archiveren van de processen die afhankelijk zijn van externe ICT-dienstverleners en het bijhouden van een register met informatie over alle contractuele regelingen.
Nogmaals, dit zijn vereisten die sterk lijken op bestaande wetgeving zoals de AVG (die het bijhouden van een register van verwerkingsactiviteiten vereist). En het is terug te vinden in andere initiatieven op het gebied van digitale regulering – kijk bijvoorbeeld naar de voorgestelde AI Act, die in feite vereist dat u weet waar in uw organisatie algoritmen in gebruik zijn.
Nieuwe wetten leggen de lat hoger voor de manier waarop organisaties samenwerken met derden en in hoeverre zij verantwoordelijk blijven. Dit omvat de verantwoordingsplicht met betrekking tot de aanvullende controle over leveranciers, zakenpartners of andere derden zoals software-/cloudproviders. Om te voldoen aan DORA, zijn financiële entiteiten verantwoordelijk voor het opstellen van contracten die de relatie met derden regelen met een vereiste minimale set informatie. Bovendien moeten entiteiten beschikken over een duidelijke strategie voor het risicobeheer van ICT-derden.
Verplichtingen voor het beheer van derden zijn ook terug te vinden in de huidige en toekomstige digitale regelgevingen. Kijk bijvoorbeeld naar de MiCA-regelgeving: deze bepaalt dat aanbieders van cryptodiensten contractuele afspraken onderhouden met derde partijen waarin hun rollen, verantwoordelijkheden, rechten en verplichtingen duidelijk zijn vastgelegd. Merk vervolgens op hoe vergelijkbaar dit is met de controller-verwerkerovereenkomsten die u al onderhoudt met uw leveranciers vanwege de AVG. Dit helpt u te begrijpen hoe het gezamenlijk beheren van de vereisten van alle regelgevingen zorgt voor efficiëntere operaties.
Verplichtingen met betrekking tot governancestructuren en organisatorische maatregelen die zorgen voor effectief risicobeheer en naleving van de regelgeving zijn een gemeenschappelijk thema voor meerdere digitale regelgeving. Bij het analyseren van de vereisten voor DORA stellen we vast dat financiële entiteiten een intern governance- en controlekader moeten hebben, dat zorgt voor een effectief beheer van ICT-risico's. Dit proces wordt ten minste eenmaal per jaar gedocumenteerd en geëvalueerd, of in het geval van ernstige ICT-gerelateerde incidenten, volgens de instructies van de toezichthouder. Ook moet het beheerskader regelmatig worden gecontroleerd door ICT-auditors.
Ook in deze eisen kunnen we overlap vinden. Zie bijvoorbeeld de AI-verordening die een verplicht beheers- en governancesysteem invoert om een hoge kwaliteit van opleidings-, validatie- en testgegevens te waarborgen.
Verplichtingen voor conformiteits- en risicobeoordelingen in het digitale domein zijn gemeengoed geworden. DORA bepaalt dat financiële entiteiten verplicht zijn om regelmatig ICT-risicobeoordelingen uit te voeren op verouderde ICT-systemen. Bovendien zullen concentratierisicobeoordelingen van alle uitbestedingscontracten die de levering van kritieke of belangrijke functies ondersteunen, verplicht zijn.
Net als de Data Protection Impact Assessment die is opgesteld door de GDPR (wat in feite een risicobeoordeling is), en de risicobeoordelingen die zijn gedefinieerd voor AI-systemen, kunt u verwachten dat verplichte beoordelingen die u moet uitvoeren en documenteren een terugkerend patroon zullen blijven in de digitale regelgeving.
DORA zal naar verwachting een aanzienlijke impact hebben op de financiële sector en de nieuwe vereisten kunnen overweldigend overkomen. En daar blijft het niet bij: Hoogstwaarschijnlijk zal uw organisatie naast DORA ook te maken krijgen met andere digitale regelgeving die de Europe fit for the Digital Age-strategie introduceert. Al deze nieuwe regels moeten worden geïmplementeerd, wat veel moeite en middelen kan kosten, en wanneer het niet zorgvuldig wordt beheerd, een zware last op uw organisatie kan leggen.
U bent dus op zoek naar efficiëntie in de uitvoering. Niet alleen bij de implementatie van DORA, maar bij de implementatie van het hele pakket digitale regelgeving. Wij geloven dat de sleutel tot een efficiënte uitvoering ligt in de gemeenschappelijke thema's. Als u bijvoorbeeld uw procedure voor het melden van inbreuken in verband met persoonsgegevens van de AVG kunt hergebruiken voor andere verplichtingen voor het melden van inbreuken, bespaart u tijd en moeite bij de implementatie van dat deel van DORA en andere nieuwe wetgeving die ook melding vereist. Het combineren van al het contract- en derdenbeheer voor alle nieuwe en bestaande regels die dat vereisen (DORA, AI Act, GDPR, etc.) maakt de implementatie bijvoorbeeld weer efficiënter.
De vijf hierboven onderzochte thema's zijn daarbij een van uw uitgangspunten. Een tweede actie die u nu moet ondernemen, is het uitvoeren van een bedrijfsbrede analyse van de digitale regelgeving die in het kader van Europa is opgesteld die geschikt is voor een digitaal tijdperk waarin uw organisatie te maken zal krijgen. En ten derde is het nu ook tijd om de implementatie-inspanningen van al deze geïdentificeerde digitale regelgeving op elkaar af te stemmen, om optimaal gebruik te maken van overeenkomsten tussen de huidige en toekomstige wetgeving.
Wilt u meer weten over wat we van DORA kunnen verwachten en welke acties u nu al kunt ondernemen, lees dan hier onze DORA blog.