Verordening voor ICT-bescherming financiële sector
De Digital Operational Resilience Act (DORA) is een nieuwe Europese verordening. DORA zorgt voor meer cyber en ICT-bescherming in de financiële sector. Bijvoorbeeld tegen cyberdreigingen en datalekken. Financiële ondernemingen in EU-landen hebben tot 17 januari 2025 om aan de nieuwe regels te voldoen.
Verplichtingen DORA
Met DORA komen er strengere regels voor de veiligheid van bedrijven in de informatie technologie (IT). Deze regels zijn onder andere:
- Verplichte en regelmatige ethische hacktests.
- Het melden van een IT-incident zoals een datalek of cyberaanval bij de toezichthouder. Grote, essentiële IT-toeleveranciers (zoals cloud-dienstverleners) vallen direct onder toezicht van de Europese toezichthoudende autoriteiten.
- Financiële ondernemingen moeten in kaart brengen van welke IT-toeleveranciers zij gebruik maken en hoe weerbaar deze partijen zijn.
- DORA biedt daarnaast financiële ondernemingen de mogelijkheid om informatie over IT-incidenten uit te wisselen.
Voor welke bedrijven van toepassing
DORA geldt voor de meeste financiële bedrijven. Vooral beleggingsondernemingen, banken, betaaldienstverleners, instellingen voor collectieve belegging in effecten (icbe’s), verzekerings- en herverzekeringsbedrijven, beleggingsinstellingen en pensioenfondsen.
Daarnaast kijkt DORA naar de grootte, het risicoprofiel en het systeembelang van een onderneming. Kleine ondernemingen hoeven niet aan alle regels te voldoen. DORA maakt voor sommige bedrijven het deel over ICT-risicobeheer makkelijker, zodat dit beter past bij hun situatie.
Toezicht door AFM en DNB
De AFM (Autoriteit Financiële Markten) en DNB (De Nederlandsche Bank) zien toe op de naleving van de regels door financiële ondernemingen in Nederland. Er gelden Europese regels voor grote IT-bedrijven die belangrijke diensten leveren aan financiële instellingen. Europese toezichthouders zorgen ervoor dat deze bedrijven zich hieraan houden.
Ingangsdatum DORA
DORA geldt vanaf 16 januari 2023. Financiële ondernemingen in de EU moeten voor 17 januari 2025 voldoen aan de nieuwe regels.
Voor DORA waren er al regels over IT-eisen, bijvoorbeeld voor banken. Met DORA gelden de eisen voor veel meer financiële bedrijven op EU-niveau. De regels staan in een verordening die direct geldt voor alle EU-landen. Zo zijn de eisen overal hetzelfde. Door de wet aan te passen, vervallen de oude nationale regels. Alleen de handhaving is nog op nationaal niveau geregeld. DNB en AFM kunnen een boete geven als een financieel bedrijf zich niet aan DORA houdt.