LEES
Nieuws

Uitdagingen bij de implementatie van DORA 

Datum:23 januari 2025

Cybercriminelen worden steeds geraffineerder en het aantal cyberaanvallen blijft stijgen. Dit was voor Europa aanleiding om de Digital Operational Resilience Act DORA) aan te nemen (VERORDENING (EU) 2022/2554), met als doel de gehele financiële sector operationeel weerbaarder te maken. Aanvankelijk bestonden er verschillende richtlijnen voor verschillende soorten financiële ondernemingen, maar het ontbrak aan een uniform legal framework. DORA pakt dit aan door de ICT-regels voor de hele sector te harmoniseren en de algemene normen te verhogen. Vanaf 17 januari 2025 werd DORA van toepassing. Dit was de deadline voor financiële instellingen om alle vereiste beleidsregels en procedures ingevoerd te hebben. Daarnaast zal het informatieregister binnenkort worden opgevraagd door de toezichthouders. Het afgelopen jaar hebben we veel financiële instellingen geholpen om DORA compliant te worden. Hieronder delen we enkele belangrijke punten en tips die we tijdens deze projecten hebben geleerd. 

Onze ervaring is dat nog niet alle financiële instellingen klaar zijn voor DORA, dus er is nog werk aan de winkel. 

Planning 

Het wetgevingspakket is vrij uitgebreid, net als de verplichtingen waaraan financiële instellingen moeten voldoen. In veel gevallen is een sleutelrol in het project weggelegd voor interne medewerkers. Dit maakt het een uitdaging om het project voldoende prioriteit te geven in combinatie met reguliere activiteiten en zo voldoende voortgang te boeken. Het aanpassen van documentatie vergt tijd en aandacht, en vaak gaat het om veel verschillende documenten die op elkaar moeten worden afgestemd. 

Tip:Zorg, nu de deadline er is, voor een overzicht van de huidige status van de implementatie. Als er nog gaps zijn die gesloten moeten worden, is het belangrijk om deze taken in te plannen voor de komende periode. Zorg ervoor dat er nog capaciteit over is om het project af te ronden en leg vast welke beslissingen er worden genomen. 

Aan de slag met de nieuwe werkwijze 

Nu (bijna) alle beleidsregels en procedures zijn afgerond, is het belangrijk om ervoor te zorgen dat de nieuwe werkwijze goed wordt ingebed in de organisatie. Misschien weet het DORA-projectteam (of de paar medewerkers die aan de implementatie hebben gewerkt) precies hoe verder te gaan, maar vergeet niet om ook de rest van de medewerkers goed te informeren. Zo moeten incidenten vanaf nu worden geregistreerd en gerapporteerd volgens de nieuwe processen. Zorg er dus voor dat de organisatie op de hoogte is en dat ook ICT-dienstverleners goed zijn voorbereid. 

Controleframework in de praktijk brengen  

Binnen alle financiële instellingen zijn tijdens de ICT-risicoanalyse en in beleidsregels en procedures veel beheersmaatregelen gedefinieerd. Nu is het tijd om het risico- en controleframework in de praktijk te brengen, de gedefinieerde tests uit te voeren en te starten met de monitoringstaken. 

Tip: Maak een overzicht van alle controles en stel een monitoringsprogramma op. Werk een plan uit om alle taken uit te voeren en houd de voortgang nauwkeurig bij. 

Informatieregister   

Op basis van wat we momenteel in de markt zien, is het informatieregister het onderwerp dat de meeste aandacht vraagt van financiële instellingen. Dit is niet verrassend, aangezien bekend is dat toezichthouders hier op korte termijn om zullen vragen. 

De meest recente template voor het register, beschikbaar op de website van de EBA, komt niet volledig overeen met de nieuwste versie van de bijbehorende ITS. De ITS is recent bijgewerkt, maar het register is hier nog niet op aangepast. 

De EBA heeft aangegeven dat er geen nieuw format in Excel zal worden aangeboden. We moeten daarom wachten op het verzoek van de nationale toezichthouder en het format dat zij vereisen. Vanuit ons perspectief is de beste optie om de huidige template te gebruiken en voor te bereiden om de ontbrekende velden uit de ITS op een later moment toe te voegen. 

Conclusie 

Met de inwerkingtreding van DORA op 17 januari 2025 is het essentieel om aan de vereisten te blijven voldoen: 

  • Zorg ervoor dat de nieuwe processen duidelijk worden gecommuniceerd naar medewerkers en leveranciers. 
  • Zorg ervoor dat nieuwe processen duidelijk worden gecommuniceerd naar werknemers en leveranciers. 
  • Start met het monitoren en uitvoeren van controles. 
  • Rond het informatieregister af, aangezien toezichthouders dit binnenkort naar verwachting zullen opvragen. 

Vooruitkijken: Naleving van DORA stopt niet bij de deadline. Blijf alert op nieuwe vereisten en zorg ervoor dat jouw organisatie voorbereid is op toekomstige updates of audits door toezichthouders. 

Wil je up-to-date blijven?  

Wil je op de hoogte blijven van DORA, digitale weerbaarheid en/of andere ontwikkelingen in financiële wet- en regelgeving?

Slot 

Op 21 mei vond het webinar "Knelpunten bij de implementatie van DORA" plaats. Projective Group consultants Gert Jan Thierry en Nienke Moek namen de deelnemers mee in de verwachtingen van de toezichthouder met betrekking tot DORA en de uitdagingen bij de implementatie ervan. Ze gaven ook praktische tips om deze obstakels te overwinnen. Klik hier om een samenvatting van het webinar te lezen.