Wouter Hoeffnagel - 05 juli 2024

Checklist helpt financiële organisaties voor te bereiden op DORA

Financiële ondernemingen moeten per 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA). Deze Europese verordening kent als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee hun weerbaarheid tegen cyberdreigingen vergroten. Op basis van eerdere uitvragen rondom IT-beheersmaatregelen is door de Autoriteit Financiële Markten (AFM) in kaart gebracht hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoren en heeft dit vertaald naar tien belangrijke DORA thema’s. Organisaties kunnen deze bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren.

Checklist helpt financiële organisaties voor te bereiden op DORA image

De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel hiervan zijn de onderzoeken waarin ondernemingen zelf de volwassenheid van

IT-beheersmaatregelen scoren. De AFM heeft een koppeling gemaakt tussen de scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA. Deze koppeling is onze eigen interpretatie en omvat niet alle vereisten uit DORA. De scores laten zien dat de beheersmaatregelen vaak niet op voldoende niveau waren en dat er nog aanzienlijk werk verzet moet worden voordat DORA van toepassing wordt in januari 2025.

ICT-risico's beter beheersen

DORA heeft als doel dat financiële ondernemingen ICT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen en ICT-verstoringen. Goed ICT-risicobeheer stelt ondernemingen in staat om risico’s tijdig en effectief te detecteren en te beheersen.

Voor ICT-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit geldt voor 81% van de financiële dienstverleners, 58% van de kapitaalmarktpartijen en 42% van de beleggingsondernemingen. Ook zijn bij verschillende ondernemingen verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders. De meeste organisaties scoorden voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.

Checklist

Het is belangrijk dat ondernemingen tijdig helder krijgen waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen.

De DORA-checklist kunnen ondernemingen als startpunt gebruiken om op een aantal punten helder te krijgen wat er qua beleid en procedures nog nodig is om te voldoen aan de vereisten uit DORA. Vanwege de omvang van DORA is de checklist niet volledig. De volledige vereisten zijn opgenomen in de verordening en bijbehorende RTS en ITS. Meer informatie hierover staat op de website van de AFM.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW