Digitale tablet met stroomdiagrammen op een geopend vintage compliance-dossier met lakzegels op een mahonie bureau

Wat is het verschil tussen DORA en bestaande toezichtregels?

in

DORA verschilt van bestaande toezichtregels doordat het een uniforme EU-verordening is die rechtstreeks van toepassing is in alle lidstaten, terwijl eerdere regelgeving vaak nationaal of sectoraal gefragmenteerd was. De Digital Operational Resilience Act richt zich specifiek op de digitale operationele weerbaarheid van de financiële sector en brengt ook ICT-dienstverleners onder direct toezicht. Hieronder beantwoorden we de belangrijkste vragen over de verschillen tussen DORA en andere regelgeving.

Wat is DORA en waarom is deze verordening anders dan eerdere regelgeving?

DORA (Digital Operational Resilience Act) is een EU-verordening die financiële instellingen en hun ICT-dienstverleners verplicht hun beveiliging van netwerk- en informatiesystemen te verbeteren. De wet beschermt tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken. Sinds januari 2023 is DORA van kracht, met volledige naleving vereist vanaf 17 januari 2025.

Het uniforme karakter van DORA onderscheidt deze verordening van het gefragmenteerde landschap van bestaande toezichtregels. Waar organisaties voorheen te maken hadden met verschillende nationale richtlijnen en sectorspecifieke regels, geldt DORA als één coherent kader voor de gehele EU. De verordening maakt deel uit van het EU-pakket voor digitale financiën, dat innovatie en concurrentie stimuleert terwijl risico’s worden beperkt.

De directe werking in alle EU-lidstaten betekent dat DORA niet eerst omgezet hoeft te worden in nationale wetgeving. Dit zorgt voor een gelijk speelveld binnen de Europese financiële sector en voorkomt interpretatieverschillen tussen landen.

Wat is het verschil tussen DORA en sectorale toezichtregels zoals DNB-richtlijnen?

DORA staat als EU-verordening boven nationale richtlijnen van toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). Waar DNB-richtlijnen specifiek voor de Nederlandse markt gelden, heeft DORA rechtstreekse werking in alle EU-lidstaten zonder nationale implementatie.

De reikwijdte van DORA is aanzienlijk breder dan die van traditionele sectorale regels. Naast financiële instellingen zoals banken, verzekeraars, beleggingsfondsen en betaaldiensten vallen ook kritieke ICT-dienstverleners onder het toepassingsgebied. Dit omvat:

  • Cloudcomputingproviders
  • Softwareleveranciers
  • Datacenters
  • Beheerders van IT-systemen voor financiële instellingen

Sectorale regels beperkten zich voorheen tot de financiële instellingen zelf. DORA erkent dat deze instellingen vaak afhankelijk zijn van externe ICT-dienstverleners en brengt daarom de gehele keten onder toezicht. Het NOREA DORA in Control Framework integreert overigens vragen van DNB voor zowel banken als pensioenfondsen en verzekeraars, wat aangeeft dat nationale toezichthouders hun verwachtingen afstemmen op DORA.

Hoe verschilt DORA van NIS2 en welke regelgeving heeft voorrang?

DORA en NIS2 zijn beide EU-wetgevingen gericht op verbetering van cyberveiligheid, maar met een verschillend toepassingsgebied. NIS2 geldt voor een breed scala aan sectoren die noodzakelijk of belangrijk zijn voor de economie, zoals energie, transport, gezondheid en digitale infrastructuur. DORA richt zich specifiek op de financiële sector.

Het lex-specialis-principe bepaalt dat DORA als specifieke wet voor de financiële sector voorrang heeft boven de algemenere NIS2-richtlijn. Beide wetgevingen zijn op elkaar afgestemd om juridische duidelijkheid en coherentie te waarborgen. Deze afstemming voorkomt overlappende of tegenstrijdige vereisten.

Voor organisaties die onder beide regelgevingen kunnen vallen, geldt dat DORA-compliance de primaire focus moet zijn. De Europese wetgevers hebben bewust gezorgd voor een geïntegreerde aanpak van cyberveiligheid binnen de EU, waarbij de specifieke eisen van DORA voor de financiële sector leidend zijn.

Wat zijn de belangrijkste verschillen tussen DORA en ISO 27001?

DORA is een wettelijke verplichting met rechtstreekse werking, terwijl ISO 27001 een vrijwillige certificeringsnorm is. Financiële instellingen kunnen niet kiezen of ze aan DORA voldoen; naleving is verplicht. ISO 27001-certificering blijft een keuze, hoewel deze waardevol kan zijn als basis voor informatiebeveiliging.

DORA stelt specifieke eisen die verder gaan dan ISO 27001:

  • Incidentmelding: DORA vereist snelle opsporing en melding van ICT-incidenten binnen strikte termijnen aan toezichthouders.
  • Threat-Led Penetration Testing (TLPT): Verplichte periodieke tests van digitale weerbaarheid volgens een specifieke methodologie.
  • Toezicht op derde partijen: Uitgebreide eisen voor het beheer van ICT-dienstverleners, inclusief contractuele vereisten.
  • Informatie-uitwisseling: Actief delen van cyberdreigingsinformatie binnen de sector.

ISO 27001-certificering kan helpen bij DORA-compliance doordat deze een solide basis biedt voor informatiebeveiliging. De certificering volstaat echter niet als bewijs van DORA-naleving. Organisaties moeten de aanvullende DORA-specifieke maatregelen implementeren.

Welke nieuwe verplichtingen brengt DORA die niet in bestaande regelgeving staan?

DORA introduceert zes hoofdvereisten voor digitale operationele veerkracht die in deze vorm niet eerder in regelgeving stonden. Governance vereist het inrichten van een ICT-risicobeheerkader om digitale dreigingen te beheersen en klantgegevens te beschermen. ICT-risicobeheer omvat regelmatige risicobeoordelingen om systemen en data veilig te houden.

De unieke DORA-vereisten omvatten:

  • Verplichte TLPT: Threat-Led Penetration Testing moet de digitale weerbaarheid regelmatig toetsen.
  • ICT-risicobeheerkader: Een formeel kader voor de identificatie en beheersing van digitale risico’s.
  • Incidentrapportage: Snelle detectie en melding binnen voorgeschreven termijnen.
  • Register van uitbestedingsovereenkomsten: Een volledig overzicht van alle ICT-uitbestedingen.

Europese toezichthouders krijgen onder DORA de bevoegdheid om kritieke ICT-dienstverleners direct te controleren. Dit directe toezicht op derde partijen bestond niet in eerdere regelgeving en erkent de cruciale rol van deze leveranciers in de financiële infrastructuur.

Hoe beïnvloedt DORA de relatie met ICT-dienstverleners anders dan huidige uitbestedingsregels?

DORA vereist strikt beheer van ICT-dienstverleners om continuïteit en veiligheid te waarborgen, ook bij afhankelijkheid van externe partijen. Financiële instellingen moeten uitbestedingsrisico’s identificeren, monitoren en beheersen om operationele verstoringen te voorkomen. Dit gaat verder dan bestaande uitbestedingsrichtlijnen.

De belangrijkste nieuwe eisen voor derdenbeheer zijn:

  • Verplicht register: Alle uitbestedingsovereenkomsten met ICT-dienstverleners moeten worden gedocumenteerd.
  • Contractuele vereisten: Afspraken moeten de digitale weerbaarheid expliciet waarborgen.
  • Exitstrategieën: Vooraf gedefinieerde plannen voor de beëindiging van leveranciersrelaties.
  • Prestatiemonitoring: Actief toezicht op de prestaties van leveranciers.

Externe ICT-dienstverleners moeten voldoen aan dezelfde beveiligingsstandaarden als de financiële instelling zelf. De mogelijkheid voor toezichthouders om kritieke ICT-dienstverleners direct te controleren, versterkt de positie van financiële instellingen in onderhandelingen met hun leveranciers.

Hoe helpt Hoek en Blok IT bij het navigeren tussen DORA en bestaande toezichtregels?

Hoek en Blok IT ondersteunt organisaties bij elke stap van de DORA-implementatie en de afstemming met bestaande regelgeving. De NOREA-gecertificeerde IT-auditors combineren meer dan 30 jaar praktijkervaring met diepgaande kennis van de financiële sector.

De concrete dienstverlening omvat:

  • Gap-analyses: Bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid.
  • DORA-audits: Beoordeling van compliance met de regelgevende vereisten.
  • TLPT-ondersteuning: Begeleiding bij verplichte Threat-Led Penetration Testing.
  • ICT-risicomanagementadvies: Ontwikkeling van een op maat gemaakt risicobeheerkader conform DORA-normen.
  • IT Security Officer as a Service: Pragmatische ondersteuning zonder onnodige administratieve lasten.
  • Monitoringstructuren: Inrichten van periodieke controles op de effectiviteit van maatregelen.

Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over uw DORA-implementatie en de afstemming met bestaande toezichtregels binnen uw organisatie.

Is de NIS2 verplicht?Officieel juridisch document met lakzegel op mahonie bureau, koperen hamer ernaast, EU-vlag op achtergrondStalen hangslot beveiligt bundel netwerkkabels en glasvezelkabels tegen betonnen muur in blauw industrieel lichtWat betekent NIS2 voor digitale infrastructuur?