Digital Operations Resilience Act (DORA)
Sinds januari 2023 is (DORA) op voorspraak van de Europese Commissie van kracht. DORA is een Europese verordening met als doel dat financiële organisaties – dus ook (nu nog allen de grotere) assurantieondernemingen – hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Er is namelijk sprake van een scheefgroei tussen de toenemende IT-dreiging en de ontwikkeling van de weerbaarheid. DORA is een aanvulling op bestaande wetgeving op dit punt, te weten NIS2 en GDPR. De financiële sector wordt steeds afhankelijker van technologie(bedrijven) voor zijn dienstverlening. Dit maakt de financiële sector kwetsbaar voor onderliggende problemen met technologie, zoals een cyberaanval. Dit kan uiteindelijk ten koste gaan van de robuustheid en de transparantie. De verordening richt zich op het aanscherpen van riskmanagement, IT-incidentbeheersing, testen, toezicht op kritieke IT-dienstverleners, en het onderdeel bestuur en organisatie. Daarnaast verbetert DORA de ketenveiligheid en worden de risico’s van fouten bij informatie-uitwisseling beperkt. Assurantieondernemingen hebben tot december 2024 de tijd om aan de regelgeving te voldoen. Vanaf januari 2025 moeten de regels geïmplementeerd zijn. De AFM en DNB zullen gezamenlijk toezicht houden op de naleving. Dit betekent dat u nu nog krap één jaar de tijd hebt om uw assurantieonderneming voor te bereiden. U staat daarbij als assurantieondernemer voor nieuwe uitdagingen en zult in uw assurantieonderneming zaken moeten adresseren als:
- Het beschikken over een ICT Risk Management Framework, d.w.z. een geheel van softwarecomponenten dat gebruikt wordt bij het programmeren van applicaties;
- Er moet een actieplan zijn dat u uitvoert bij een beveiligingsincident;
- U zult vaker (verplicht) moeten testen;
- Het risico dat derden voor uw ondernemingen vormen zult u in kaart moeten brengen;
- Het delen van dreigingsinformatie wordt verplicht.
DORA is niet de enige grote cybersecurityrichtlijn die in 2025 van kracht wordt, ook NIS2 stelt eisen aan de digitale veiligheid van bedrijven en organisaties in Europa. Beide gaan over de veiligheid van ICT. Het verschil is dat DORA zich puur op de financiële sector richt en NIS2 op alle kritieke sectoren. Voor de financiële sector zal DORA leidend zijn. Een ander verschil is dat NIS2 een richtlijn is die in elke lidstaat tot eigen wetgeving leidt en DORA is een verordening die in elke lidstaat op dezelfde manier geldt.
Waar moet u beginnen:
- Breng mogelijke risico’s in kaart en beoordeel uw Risk Management Framework;
- Hanteer een beoordelingsprogramma en controleer of uw ‘framework’ elementen mist die in de nieuwe wetgeving nodig zijn, met een zogenaamde ‘kloof-analyse’ bepaalt u waar uw bedrijf staat, wat de gewenste situatie is en wat het verschil is. Zijn veiligheidstesten al onderdeel van het risicomanagement of niet? En hoe is dat geregeld bij uw verzekeraars, volmachten en serviceproviders;
- Denk goed na over het incidentproces en beoordeel of uw organisatie eigenlijk wel de capaciteit heeft om incidenten goed te melden;
- Stel uzelf tenslotte de vraag: wat ga ik testen, wanneer ga ik testen en hoe ga ik aantonen wat ik getest heb.
Voor assurantieondernemingen waar cyber security tot nu toe nog niet veel aandacht heeft gekregen gaat DORA veel aandacht vragen. Daarnaast zijn er o.a. door DORA waarschijnlijk niet genoeg IT’ers om alles voor elkaar te krijgen binnen de gestelde termijn. Maar er is ook nog een hoop onduidelijk, wat gebeurt er bijvoorbeeld met die informatie bij een melding en hoe krijgt u als assurantieondernemer controle over de risico’s bij derde partijen, wat als uw ‘derde partij’ een kleine IT-leverancier is of een buitenlandse partij waar u geen controle op hebt? Er wachten u in 2024 dus nog heel wat uitdagingen.