Hand met rode pen cirkelt datum op sierlijke wandkalender boven bureau met compliance-documenten in professioneel kantoor

Wanneer gaat DORA in?

in

DORA gaat in op 17 januari 2025. Vanaf deze datum moeten financiële instellingen en hun kritieke ICT-dienstverleners volledig voldoen aan de Digital Operational Resilience Act. De verordening is sinds 16 januari 2023 officieel van kracht, maar organisaties kregen twee jaar de tijd om hun processen en systemen aan te passen. Dit artikel beantwoordt de belangrijkste vragen over DORA, de verplichtingen en hoe u uw organisatie tijdig kunt voorbereiden.

Wat is DORA en waarom is deze verordening zo belangrijk?

DORA (Digital Operational Resilience Act) is Europese wetgeving die de digitale weerbaarheid van de financiële sector moet versterken. De verordening verplicht financiële instellingen en hun ICT-dienstverleners om de beveiliging van hun netwerk- en informatiesystemen te verbeteren. Het doel is bescherming tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken.

De Europese Unie introduceerde DORA als onderdeel van het EU-pakket voor digitale financiën. Dit pakket stimuleert innovatie en concurrentie in digitale financiën, terwijl risico’s worden beperkt. De toenemende afhankelijkheid van ICT-systemen en externe dienstverleners maakte uniforme regelgeving noodzakelijk.

DORA biedt concrete voordelen voor de sector:

  • Sterkere digitale weerbaarheid tegen IT-risico’s en cyberdreigingen
  • Een uniform regelgevingskader dat versnippering en dubbele regels vermindert
  • Eerlijke concurrentie tussen financiële instellingen en hun IT-leveranciers
  • Betere consumentenbescherming door gewaarborgde continuïteit en veiligheid van klantgegevens

Wanneer gaat DORA precies in en wat betekent deze deadline?

DORA is van toepassing vanaf 17 januari 2025. Dit is de datum waarop alle organisaties die onder de verordening vallen volledig compliant moeten zijn. De verordening trad officieel in werking op 16 januari 2023, waarna organisaties een implementatieperiode van twee jaar kregen.

Het verschil tussen inwerkingtreding en toepassingsdatum is belangrijk. Bij de inwerkingtreding werd de wet officieel onderdeel van het Europese rechtssysteem. De toepassingsdatum markeert het moment waarop toezichthouders actief gaan handhaven.

Als EU-verordening is DORA rechtstreeks van toepassing in alle lidstaten zonder nationale omzetting. Dit betekent dat er geen ruimte is voor uitstel of nationale aanpassingen. De deadline van 17 januari 2025 geldt voor alle betrokken organisaties in de gehele Europese Unie.

Welke organisaties moeten voldoen aan de DORA-vereisten?

DORA is van toepassing op een breed scala aan financiële instellingen en hun ICT-dienstverleners. De verordening geldt voor alle entiteiten die onder EU-financiële regelgeving vallen en creëert zo een uniform beschermingsniveau binnen de Europese financiële sector.

Onder DORA vallen specifiek:

  • Banken en kredietinstellingen
  • Verzekeraars en herverzekeraars
  • Beleggingsondernemingen en beheerders van beleggingsfondsen
  • Betalingsinstellingen en elektronische geldinstellingen
  • Crypto-assetdienstverleners
  • Kritieke ICT-dienstverleners (cloudproviders, softwareleveranciers, datacentra)

De reikwijdte van DORA is bewust breed. Organisaties die IT-systemen beheren, software ontwikkelen of data opslaan voor financiële instellingen vallen eveneens onder de vereisten. Dit erkent de afhankelijkheid van de financiële sector van externe ICT-diensten. Ook kleinere financiële instellingen en hun toeleveranciers worden geraakt door deze regelgeving, soms indirect via ketens, moedermaatschappijen of dienstverlening.

Wat zijn de belangrijkste DORA-verplichtingen waar u aan moet voldoen?

DORA is gebouwd op vijf pijlers die samen de digitale operationele weerbaarheid waarborgen. Elke pijler bevat specifieke verplichtingen die organisaties moeten implementeren in hun dagelijkse bedrijfsvoering.

ICT-risicobeheer vormt de basis. Organisaties moeten een IT-risicobeheerkader inrichten om digitale dreigingen te beheersen en klantgegevens te beschermen. Dit omvat regelmatige IT-risicobeoordelingen om systemen en data veilig te houden.

ICT-incidentenbeheer en rapportage vereist snelle opsporing en melding van IT-incidenten. Bij een datalek of cyberaanval moet u dit melden bij de toezichthouder. Snelle detectie beperkt schade en beschermt uw reputatie.

Digitale operationele weerbaarheidstests zijn verplicht om uw digitale weerbaarheid regelmatig te toetsen. Dit omvat penetratietests en ethical hacking om kwetsbaarheden te identificeren voordat kwaadwillenden deze kunnen misbruiken.

Beheer van ICT-risico’s van derden vereist strikt beheer van uw IT-dienstverleners. Contractuele afspraken moeten digitale weerbaarheid waarborgen en externe leveranciers moeten voldoen aan dezelfde beveiligingsstandaarden als uw eigen organisatie.

Informatie-uitwisseling stimuleert het actief delen van cyberdreigingsinformatie. Dit helpt de sector sneller te reageren op nieuwe risico’s en maakt het gehele financiële systeem veiliger.

Hoe bereidt u uw organisatie voor op de DORA-deadline?

Een gestructureerde aanpak is essentieel om tijdig aan DORA te voldoen. Begin met het vaststellen van uw huidige positie en werk systematisch toe naar volledige compliance.

Voer een gap-analyse uit. Een nulmeting is een logisch startpunt om vast te stellen in hoeverre DORA al is geïmplementeerd. Breng in kaart welke vereisten al zijn ingevuld en waar nog tekortkomingen bestaan. Let daarbij op dat DORA primair een governance- en organisatievraagstuk is, niet alleen een IT-thema.

Richt uw ICT-risicoraamwerk in. Ontwikkel een op maat gemaakt IT-risicobeheerkader dat voldoet aan DORA-normen en aansluit bij uw organisatiespecifieke behoeften. Zorg voor duidelijke verantwoordelijkheden en bestuurlijke betrokkenheid.

Herzie uw contracten met ICT-leveranciers. Beoordeel de risico’s die zijn verbonden aan de uitbesteding van kritieke IT-functies. Pas contractuele afspraken aan zodat deze digitale weerbaarheid waarborgen.

Richt incidentrapportageprocessen in. Zorg dat u IT-incidenten snel kunt detecteren, analyseren en melden bij de toezichthouder volgens de DORA-vereisten.

Implementeer testprogramma’s. Plan regelmatige weerbaarheidstests, waaronder penetratietests, om uw digitale weerbaarheid aan te tonen.

DORA vraagt om aantoonbaarheid, niet alleen beleid. Hoe laat u zien dat u in control bent? Documenteer uw maatregelen zorgvuldig en overweeg assurance (bijvoorbeeld een ISAE 3000-verklaring) als manier om naleving aantoonbaar te maken.

Wat zijn de gevolgen als u niet tijdig aan DORA voldoet?

Toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) zijn verantwoordelijk voor de handhaving van DORA in Nederland. Zij krijgen ruime bevoegdheden om naleving af te dwingen.

De mogelijke consequenties bij non-compliance zijn aanzienlijk:

  • Administratieve sancties die kunnen oplopen tot substantiële bedragen
  • Operationele beperkingen die uw bedrijfsvoering kunnen raken
  • Reputatieschade bij klanten, partners en de markt
  • Verhoogd toezicht en extra rapportageverplichtingen

Veel organisaties denken DORA wel op orde te hebben, maar worstelen juist met details en aantoonbaarheid. Bestuurlijke verantwoordelijkheid en de inrichting van de second line zijn cruciaal. Bestuurders zijn eindverantwoordelijk voor naleving, ook wanneer zij niet direct betrokken zijn bij de technische implementatie.

Tijdige voorbereiding is daarom geen luxe, maar noodzaak. De deadline van 17 januari 2025 biedt geen ruimte voor uitstel.

Hoe helpt Hoek en Blok IT bij uw DORA-voorbereiding?

Hoek en Blok IT ondersteunt organisaties bij elke stap van de DORA-implementatie met een pragmatische en betaalbare aanpak. De combinatie van auditervaring en technische expertise zorgt voor praktische oplossingen die aansluiten bij uw specifieke situatie.

Concrete diensten voor DORA-compliance:

  • DORA-gap-analyse: grondige nulmeting om vast te stellen waar uw organisatie staat en welke stappen nodig zijn
  • Implementatie van ICT-risicobeheer: ontwikkeling van een op maat gemaakt risicobeheerkader conform DORA-normen
  • Penetratietests en ethical hacking: verplichte weerbaarheidstests uitgevoerd door gecertificeerde specialisten
  • Ondersteuning bij incidentrapportage: inrichting van processen voor detectie en melding van IT-incidenten
  • IT Security Officer as a Service: doorlopende ondersteuning voor compliance en security zonder vaste aanstelling
  • ISAE 3000- en ISAE 3402-verklaringen: assurancerapportages om uw naleving aantoonbaar te maken

Wilt u weten hoe uw organisatie ervoor staat met betrekking tot DORA? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over uw DORA-voorbereiding.