DORA: Nieuwe regelgeving IT-security in de EU

Als je een financiële instelling in de EU bent of een IT-serviceorganisatie die diensten aan een financiële instelling levert, is het goed om te weten wat de Digital Operational Resilience Act (DORA) voor je betekent. DORA is een nieuwe wet die je verplicht om je beveiliging van netwerk- en informatiesystemen te verbeteren en om voorzichtig te zijn met het uitbesteden van deze diensten aan andere bedrijven. DORA is bedoeld om jou en je klanten te beschermen tegen cyberaanvallen en andere problemen die je (financiële) diensten kunnen verstoren. DORA is sinds januari 2023 een wet, maar je hebt tot januari 2025 de tijd om eraan te voldoen. In deze blog leggen we uit voor wie DORA geldt en wat het inhoudt.

Voor wie geldt DORA?

DORA is van toepassing voor veel soorten financiële bedrijven in de EU. Denk bijvoorbeeld aan banken, verzekeraars, beleggingsfondsen en betaaldiensten. Maar… DORA geldt ook voor bedrijven die diensten aan deze financiële bedrijven leveren, bijvoorbeeld bedrijven die IT systemen beheren, software maken, of data opslaan. Ook deze bedrijven zullen zich aan DORA moeten houden.

Waar moeten bedrijven aan voldoen?

DORA zorgt ervoor dat bedrijven goed omgaan met IT-risico’s. De belangrijkste eisen zijn onderverdeeld in de volgende categorieën:

  • Governance: bedrijven moeten een plan hebben voor het beheren van IT-risico’s. Dit plan moet passen bij hun doelen, risico’s en manier van werken. Ze moeten ook zorgen dat duidelijk is wie verantwoordelijk is voor de IT-risico’s en middelen hebben om dit te onderhouden.
  • IT-risicobeheer: bedrijven moeten regelmatig inventariseren welke IT-risico’s ze hebben en wat de impact van de risico’s zijn om deze vervolgens te beperken en te bewaken. Ze moeten ook zorgen dat ze hun gegevens en systemen goed beschermen tegen hackers en andere kwaadwillenden.
  • Incidentrapportage: bedrijven moeten een proces vaststellen om IT-gerelateerde incidenten op te sporen, te classificeren en te melden binnen een vastgestelde termijn. Ze moeten ook passende maatregelen nemen om de incidenten te voorkomen of te verminderen en de lessen die daaruit zijn getrokken te documenteren.
  • Veerkrachttesten: bedrijven moeten regelmatig testen of hun IT-beveiliging en veerkracht/weerbaarheid goed genoeg zijn. Ze moeten ook meedoen aan testen met andere bedrijven die door de autoriteiten georganiseerd worden.
  • Beheer van het IT-risico van derden: bedrijven moeten goed opletten met wie ze samenwerken bij de uitbesteding van IT-processen. Ze moeten bijvoorbeeld controleren of deze bedrijven betrouwbaar zijn, hoe ze presteren en of ze informatie en audits toestaan. Ze moeten ook weten welke IT-risico’s ze lopen door afhankelijk te zijn van deze bedrijven.
  • Uitwisseling van informatie: bedrijven moeten informatie en tips delen over cyberaanvallen en zwakke plekken met andere bedrijven, autoriteiten en netwerken in het land of in de EU. Ze moeten ook gebruikmaken van de informatie en tips die ze van deze bronnen krijgen om hun digitale veerkracht te vergroten.

Hoe kunnen we helpen?

Wil je klaar zijn voor DORA? Dan kun je rekenen op onze IT-consultants. We helpen je om inzicht te krijgen in de vereisten van DORA, de afwijkingen die nog gelden (GAP) en ondersteunen je bij de inrichting van de ontbrekende maatregelen.

Lees meer over IT-assurance verklaringen

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en we nemen contact met je op.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.