Op 28 november is de Digital Operational Resilience Act (DORA) aangenomen door de Raad van Europa; in het Nederlands bekend als de verordening betreffende de digitale operationele veerkracht voor de financiële sector.
Waar gaat DORA over?
De Digital Operational Resilience Act (DORA) is onderdeel van het Digital Finance Package van de Europese Unie.
DORA bevat uniforme vereisten voor beveiliging van netwerken en informatiesystemen van bedrijven die opereren in de financiële sector, met als doel om de weerbaarheid van de financiële sector te bestendigen en de bestaande wet- en regelgeving op dit vlak te harmoniseren.
De Verordening bevat specifieke verplichtingen voor IT-risk management, het melden van IT-incidenten en cyberdreigingen en uitwisseling van informatie in dit kader, het testen van IT-systemen (o.a. pen-testen) en het managen van de risico’s bij uitbesteding van IT aan derden. Dit laatste onder meer door bepaalde minimumvereisten te stellen aan outsourcingsovereenkomsten.
DORA is van toepassing op financiële instellingen zoals banken en verzekeraars, die ook onder de bestaande wet- en regelgeving al onder vergelijkbaar toezicht stonden als gevolg van de diverse Europese Richtlijnen en afgeleide nationale wet- en regelgeving en richtsnoeren van toezichthouders in dit kader. Denk aan de vereisten uit de Wft, de EBA guidelines on outsourcing arrangements die gelden voor financiële instellingen zoals banken, en de vergelijkbare EIOPA Guidelines on ourtsourcing to cloud service providers die gelden voor verzekeraars.
Bijzonder en nieuw is dat als gevolg van DORA ook bepaalde ICT-dienstverleners onder rechtstreeks toezicht zullen komen te staan als zij diensten verlenen aan partijen in de financiële sector die onder het toepassingsbereik van DORA vallen. Dit gaat om IT-leveranciers die kwalificeren als ‘critical ICT third-party service providers’ onder DORA.
De totstandkoming
Het oorspronkelijke voorstel voor deze Verordening dateert van 24 september 2020. Na adviezen van de Europese Centrale Bank, de Europese Toezichthouder voor gegevensbescherming en het Europees Economisch en Sociaal Comité is de tekst van het voorstel verder aangescherpt. Het Europese Parlement als de Raad van Europa hebben afgelopen zomer een voorlopig akkoord bereikt en de aangepaste tekst inmiddels beiden na eerste lezing aangenomen en goedgekeurd.
Het aannemen van het (aangepaste) voorstel voor de Digital Operational Resilience Act door de Europese Raad was de laatste stap in het Europese wetgevingsproces. Nu is het in principe alleen nog wachten op publicatie van de definitieve tekst waarmee DORA inwerking treedt.
Na inwerkingtreding hebben de financiële instellingen zoals banken en verzekeraars, en IT-dienstverleners die onder het toepassingsbereik vallen, een implementatietermijn van 24 maanden om aan de vereisten uit DORA te voldoen.
In een volgend artikel zullen we uitgebreider stilstaan bij de verschillende onderwerpen die in DORA geregeld zijn en de vereisten die eruit voortvloeien voor onder meer banken en verzekeraars, en (kritische) IT-leveranciers in geval van outsourcing.
Vragen over DORA of hoe deze Verordening op uw onderneming van toepassing gaat zijn? Neem contact op met Jan of Laura.