Is jouw organisatie al goed voorbereid?

Sinds januari 2023 is de Digital Operational Resilience Act (“DORA”) van kracht. DORA is een Europese verordening gericht op het weerbaarder maken van de financiële sector tegen cyberdreigingen. DORA bevindt zich op dit moment in de implementatiefase: financiële instellingen hebben tot 17 januari 2025 om aan de verordening te voldoen. Vanaf dat moment is DORA van toepassing en zullen de Autoriteit Financiële Markten (“AFM”) en De Nederlandsche Bank (“DNB”) toezicht houden op de verordening.  
 
Weet jij al of DORA op jouw organisatie van toepassing is? Moet jij DORA implementeren en wil jij weten wat daarvoor moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan. 

Meer leren over Cybersecurity en DORA?

De opleiding tot Certified Cybersecurity Compliance Officer geeft je inzicht in de actuele wet- en regelgeving op het gebied van cybersecurity, waarbij je leert hoe je jouw organisatie kunt helpen om daaraan te voldoen.

Meer informatie CCCO opleiding

 

Wat is DORA?

DORA is een verordening van de Europese Unie (“EU”) gericht op het versterken van de digitale weerbaarheid van financiële instellingen tegen cyberdreigingen en ICT-gerelateerde risico's. Het verplicht financiële instellingen om robuuste maatregelen te implementeren voor onder andere risicobeheer, beveiliging van ICT-systemen en incidentrapportage. DORA streeft naar een geharmoniseerde benadering binnen de EU, waardoor een uniforme bescherming van het financiële systeem tegen digitale verstoringen kan worden gerealiseerd. 

DORA is opgedeeld in vijf pijlers: 
  1. ICT Risico Management;
  2. Incident Management;
  3. Weerbaarheidstesten;
  4. Derde partijen ICT Risico Management; en
  5. Informatie-uitwisseling. 
     

DORA bestaat echter niet alleen uit de vereisten in de verordening zelf (‘level 1). De door de Europese toezichthouders opgestelde ‘Regulatory Technical Standards’ (“RTS”) zijn onverminderd van toepassing (‘level 2’). De eerste batch final drafts zijn gepubliceerd op 17 januari 2024, de tweede batch op 17 juli 2024. Dat betekent dat financiële instellingen (en ICT-dienstverleners) voor sommigen vereisten maar een half jaar hebben om ze te implementeren in de organisatie. 

Lees meerLees minder

Op welke organisaties is DORA van toepassing? 

DORA is primair van toepassing op “financiële entiteiten”. Het begrip “financiële entiteiten” is erg breed. Hieronder vallen bijvoorbeeld banken, betaaldienstverleners, verzekeringsmaatschappijen, instellingen voor elektronisch geld en beleggingsondernemingen.  

Daarnaast is DORA van toepassing op leveranciers van ICT-diensten aan financiële instellingen. Hiermee beoogt DORA niet alleen de financiële instellingen zelf beter weerbaar te maken, maar ook de ICT-systemen en –diensten die zij gebruiken via derde partijen. DORA kan zelfs van toepassing zijn op ICT-dienstverleners buiten de EU, wanneer zij hun diensten leveren aan financiële instellingen die wel in een EU-lidstaat gevestigd zijn en moeten voldoen aan DORA.  

Alle entiteiten die onder DORA vallen zijn: 

Financiële Entiteiten 
  • Kredietinstellingen 
  • Betalingsinstellingen 
  • Aanbieders van rekeninginformatiediensten 
  • Instellingen voor elektronisch geld 
  • Beleggingsondernemingen 
  • Aanbieders van cryptoactivadiensten 
  • Centrale effectenbewaarinstellingen 
  • Centrale tegenpartijen 
  • Handelsplatformen 
  • Transactieregisters 
  • Beheerders van alternatieve beleggingsinstellingen 
  • Beheermaatschappijen 
  • Aanbieders van datarapporteringsdiensten 
  • Verzekerings- en herverzekeringsondernemingen 
  • (Her/neven) verzekeringstussenpersonen 
  • Instellingen voor bedrijfspensioenvoorziening 
  • Ratingbureaus 
  • Beheerders van kritieke benchmarks 
  • Aanbieders van crowdfundingdiensten 
  • Securisatieregisters
Niet-financiële Entiteiten 
  • Externe leveranciers van ICT-diensten aan financiële instellingen 
Tot slot maakt DORA onderscheid in grootte van de entiteiten. Zo zijn er bijvoorbeeld minder zware vereisten (voor bepaalde vormen van financiële instellingen) voor:  
  • Micro-ondernemingen (een financiële entiteit die geen handelsplatform, centrale tegenpartij, transactieregister of centrale effectenbewaarinstelling is, en waar minder dan 10 personen werkzaam zijn en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro); 
  • Kleine ondernemingen (een financiële entiteit met 10-50 werknemers en een jaaromzet en/of een jaarlijks balanstotaal van meer dan 2-10 miljoen euro); en  
  • Middelgrote ondernemingen (een financiële entiteit met 51-250 werknemers en een jaaromzet van ten hoogste 50 miljoen euro en/of een jaarlijkse balans van ten hoogste 43 miljoen euro).  
Lees meerLees minder

Hoe verhouden DORA en NIS2 zich tot elkaar? 

DORA moet in samenhang worden gezien met de eveneens onlangs geïntroduceerde NIS2-richtlijn, waarin onder andere verplichtingen op het gebied van cybersecurityriskmanagement en meldplichten voor incidenten zijn vastgelegd. De NIS2-richtljn is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ (“NIS”). 

Om deze reden is er ook een overlap met de NIS2-richtlijn, aangezien beiden soortgelijke verplichtingen bevatten. De reikwijdte van de NIS2-richtlijn is echter groter: NIS2 is van toepassing op organisaties in kritieke sectoren, zoals infrastructuur, gezondheidszorg, digitale infrastructuur en het bankwezen. Welke organisaties hier specifiek onder vallen, is opgenomen in de bijlagen van NIS2. De NIS2-richtlijn is ook van toepassing op een aantal financiële instellingen. De NIS2-richtlijn en DORA  kunnen dus tegelijkertijd van toepassing zijn op jouw organisatie.  Wanneer er overlap of conflict is tussen deze twee stukken wetgeving, krijgt DORA voorrang.  

Waar DORA een verordening is en dus direct van toepassing in alle EU-lidstaten, moet de NIS2-richtlijn nog worden omgezet in nationaal recht (de Nederlandse Cyberbeveiligingswet). Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (“Wbni”) vervangen. 

Lees meerLees minder

Download onze cheat sheet

Onze handige cheat sheet geeft je alle essentiële informatie over DORA. Het biedt een beknopt overzicht van belangrijke deadlines en maatregelen die nodig zijn om aan deze richtlijn te voldoen.

Download

Roadmap visual-1

Hoe kunnen wij jou hiermee helpen?

Om te beoordelen wat er nog moet gebeuren om te voldoen aan de vereisten van DORA en de toepasselijke Regulatory Technical Standards, is het noodzakelijk te weten waar jouw organisatie nu staat. ICTRecht hanteert hiervoor een stappenplan bestaande uit 5 fasen: 
  1. Start met een DORA Quick Scan. Hiermee beoordeel je de (mate van) toepasselijkheid van DORA en maak je een overzicht van alle relevante bestaande interne frameworks, beleidsstukken, procedures, processen, plannen, etc. waarmee jouw organisatie aan reeds bestaande vergelijkbare wet- en regelgeving voldoet. 

  2. Breng alle relevante wettelijke vereisten van DORA in kaart. Inventariseer in hoeverre de instelling al voldoet aan deze vereisten, en hoe deze zijn geïmplementeerd in bestaande documentatie en werkprocessen (DORA Gap Analyse). 

  3. Vertaal de geïdentificeerde gaps naar concrete acties om naleving met DORA te bewerkstelligen (Actieplan). Rol het Actieplan uit binnen de organisatie (bijvoorbeeld via (te ontwikkelen) werkgroepen) om de implementatie uit te kunnen voeren. 

  4. Voer een interne compliance check of audit uit om te monitoren of implementatie van DORA voldoet aan de vooraf gestelde interne eisen (DORA Readiness Audit). 

  5. Monitor frequent of naleving nog wordt geborgd. 

ICTRecht kan jouw organisatie in alle fasen (of delen ervan) adviseren, begeleiden en ondersteunen. Wil je weten hoe of meer informatie ontvangen hoe we dit doen? Neem gerust contact met ons op. 

Neem contact op

Contact

Laat een bericht achter via het formulier voor meer informatie. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

 

Laat je gegevens achter