Wat is de nieuwe DORA wetgeving?

Geschatte leestijd: 8 minuten

Wat is de DORA wetgeving precies? Waarom houdt deze Europese regelgeving zoveel organisaties in de financiële sector bezig?

Door de digitalisering is de manier waarop wij bankieren en verzekeren veranderd. Maar met deze innovaties komen ook nieuwe risico’s. Cyberaanvallen, storingen en datalekken kunnen binnen enkele uren miljoenen klanten treffen. Zo’n verstoring zorgt ervoor dat men het financiële systeem minder vertrouwt.

Het is belangrijk deze uitdagingen aan te pakken. Hiervoor heeft de Europese Unie (EU) de Digital Operational Resilience Act (DORA) opgezet. Dit is een wet die op 17 januari 2025 is ingegaan. DORA stelt strenge eisen aan hoe financiële bedrijven hun digitale processen inrichten, beveiligen en in de gaten houden.

In dit artikel ontdek je wat DORA precies inhoudt en voor welke organisaties deze wetgeving geldt. Ten slotte bespreken wij ook praktische oplossingen. Deze zullen je helpen bij de overgang naar volledige naleving van deze wet.

DORA wetgeving uitgelegd: digitale weerbaarheid als prioriteit

DORA laat zien dat Europa anders is gaan denken over de cybersecurity van financiële instellingen. De financiële sector heeft zich namelijk in de afgelopen jaren flink ontwikkeld. De sector is verandert van eenvoudige banken en verzekeraars naar een ingewikkeld digitaal ecosysteem. Traditioneel risicobeheer is hierdoor niet meer voldoen.

De wet gaat verder dan alleen het beveiligen van IT-systemen. Het vereist nu een holistische aanpak. Het gaat dus om de digitale beveiliging van de gehele organisatie. Je kijkt dus niet alleen naar applicaties, maar ook naar de hele IT-infrastructuur van de organisatie.

In deze aanpak staat de digitale weerbaarheid van de financiële sector centraal. De kern van DORA draait om vijf pijlers.

Het ICT risicobeheer vereist dat organisaties digitale dreigingen proactief herkennen en oplossen. Incidentmanagement zorgt ervoor dat verstoringen snel worden opgelost en gemeld worden aan de toezichthouders. Het testen van systemen moet regelmatig gebeuren. Zo ontdek je kwetsbaarheden sneller en kan je deze oplossen voordat kwaadwillende ze uitbuiten.

Belangrijke kenmerken van DORA compliance:

• Actief op zoek naar risico’s en deze oplossen voordat ze een probleem worden;
• Verplicht de toezichthouders informeren over incidenten;
• Regelmatige penetratietesten uitvoeren en scenario’s oefenen;
• Strenge eisen aan uitbesteding van kritieke IT-diensten;
• Vastleggen hoe informatie tussen organisaties wordt uitgewisseld.

Deze benadering zorgt ervoor dat de financiële sector als geheel weerbaarder wordt tegen digitale verstoringen. Hierdoor blijft het vertrouwen van consumenten behouden.

Voor welke organisaties geldt de Digital Operational Resilience Act?

De DORA wetgeving dekt een groot gebied. De wet kijkt verder dan alleen naar de grote banken en verzekeraars. Vrijwel alle organisaties die een rol spelen in het Europese financiële ecosysteem worden geraakt. Hierdoor moeten ook leveranciers en partners van de financiële instellingen aan de bak.

Onder de wetgeving vallen:

• Banken
• Verzekeraars
• Beleggers
• Pensioenfondsen
• Verwerkers van betalingen

Maar ook boekhouders, kredietbeoordelaars en bepaalde FinTech-bedrijven moeten zich aan DORA houden. Maar daar stopt het niet.

Ook kritieke IT-dienstverleners moeten aan de slag. Zij leveren namelijk aan de financiële instellingen. Met DORA komen ook zij nu onder toezicht te staan.

Het is dus niet voldoende om alleen te kijken of jóuw organisatie onder de wet valt. Je moet nu ook kijken of je leveranciers en partners voldoen aan DORA. Hun problemen kunnen nu direct gevolgen hebben voor jouw bedrijf.

De wet hanteert een proportionaliteitsbeginsel. Dat houdt in dat kleinere organisaties minder ingrijpende verplichtingen hebben dan grote instellingen.

De instellingen die iets minder hoeven te doen zijn:

• Kleine en niet verbonden beleggingsondernemingen;
• Kleine betalingsverwerkers die zijn vrijgesteld door lidstaten (zie richtlijn 2015/2366);
• Specifieke kredietinstellingen die in richtlijn 2013/36/EU staan;
• Kleine instellingen voor elektronisch geld (zie richtlijn 2009/110/EC);
• Kleine pensioenfondsen.

DORA compliance implementeren: praktische stappen en uitdagingen

Het toepassen van DORA vraagt een flinke aanpassing van hoe organisaties omgaan met digitale risico’s. Deze verandering gaat verder dan het installeren van nieuwe software of het aanpassen van hoe je werkt. Het vraagt om een verandering van de cultuur. Digitale weerbaarheid moet onderdeel worden van de DNA van de organisatie.

Er moet dus flink geïnvesteerd worden in bewustwording en training. En dat geldt voor alle niveaus van de organisatie.

De uitdagingen zijn flink. Veel organisaties hebben namelijk te maken met verouderde IT, die men moeilijk in de gaten kan houden. Het effectief beheren van incidenten vraagt dus vaak niet alleen om nieuwe processen. Het vraagt ook om nieuwe systemen.

Daarnaast wordt het beheren van leveranciers ingewikkelder. Dat komt doordat je nu ook moet bewijzen dat je partners ook volgens DORA wetgeving werken.

Enkele praktische stappen:

• Voer een gap-analyse uit om de huidige staat van je organisatie te vergelijken met wat DORA vereist. Kijk naar zowel de staat van je applicaties als naar je infrastructuur;
• Leg de structuur vast waarin de rollen en verantwoordelijkheden van personen in staat;
• Investeer in software die je systemen kunnen monitoren en die je actueel inzicht kunnen geven;
• Pas contracten met leveranciers aan en voeg daar een stuk over DORA aan toe. Het Verbond van Verzekeraars heeft een standaard clause beschikbaar gesteld;
• Organiseer trainingen voor álle medewerkers.

Een andere uitdaging ligt in het laten samenwerken van de verschillende afdelingen. IT, compliance, risk management en het bestuur moeten intensiever gaan samenwerken, terwijl ze normaal vaak op hun eigen eilandje bezig zijn.

Ondersteuning bij DORA met het digitaal delen van documenten

Een belangrijke uitdaging bij het werken volgens DORA, is het veilig en aantoonbaar uitwisselen van informatie. Het maakt niet uit of het nu gaat over incidentrapporten, documenten met risicovolle informatie of hele dossiers voor een audit. Je hebt altijd een veilige manier nodig om documenten te delen.

Impress Digital Vault biedt een oplossing die perfect aansluit bij de eisen van DORA. Met het platform kan je veilig bestanden delen met interne en externe partijen. Alle activiteiten worden vastgelegd, wat belangrijk is voor de audit trails die DORA vereist.

De oplossing integreert naadloos in bestaande manieren van werken. Je hoeft dus niet je gehele IT aan te passen.

Verder houdt je de volledige controle over wie toegang heeft tot welke documenten. Ook houdt je grip op hoe lang documenten beschikbaar blijven. Dit helpt niet alleen bij het naleven van DORA. Het verhoogt ook de totale beveiliging van je documenten.

Maak je organisatie compliant met moderne digitale operationele weerbaarheid

De Digital Operational Resilience Act betekent een nieuwe realiteit voor de financiële sector van de EU. Heb je als organisatie de digitale weerbaarheid op orde? Let dan wel op.

Het naleven van DORA is geen eenmalige actie. Het vraagt namelijk om een aanpak waarbij het continue verbeteren van de beveiliging centraal staat.

De wetgeving biedt ook kansen. Door je digitale processen beter te organiseren en te beveiligen, werk je niet alleen volgens de wet.

Je organisatie wordt ook efficiënter en weerbaarder. Klanten krijgen hierdoor meer vertrouwen in je dienstverlening. Ten slotte ben je beter beschermd wanneer je organisatie doelwit wordt van cybercriminelen.