DORA bestaat echter niet alleen uit de vereisten in de verordening zelf (‘level 1). De door de Europese toezichthouders opgestelde ‘Regulatory Technical Standards’ (“RTS”) zijn onverminderd van toepassing (‘level 2’). De eerste batch final drafts zijn gepubliceerd op 17 januari 2024, de tweede batch op 17 juli 2024. Dat betekent dat financiële instellingen (en ICT-dienstverleners) voor sommigen vereisten maar een half jaar hebben om ze te implementeren in de organisatie.
DORA is primair van toepassing op “financiële entiteiten”. Het begrip “financiële entiteiten” is erg breed. Hieronder vallen bijvoorbeeld banken, betaaldienstverleners, verzekeringsmaatschappijen, instellingen voor elektronisch geld en beleggingsondernemingen.
Daarnaast is DORA van toepassing op leveranciers van ICT-diensten aan financiële instellingen. Hiermee beoogt DORA niet alleen de financiële instellingen zelf beter weerbaar te maken, maar ook de ICT-systemen en –diensten die zij gebruiken via derde partijen. DORA kan zelfs van toepassing zijn op ICT-dienstverleners buiten de EU, wanneer zij hun diensten leveren aan financiële instellingen die wel in een EU-lidstaat gevestigd zijn en moeten voldoen aan DORA.
DORA moet in samenhang worden gezien met de eveneens onlangs geïntroduceerde NIS2-richtlijn, waarin onder andere verplichtingen op het gebied van cybersecurityriskmanagement en meldplichten voor incidenten zijn vastgelegd. De NIS2-richtljn is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ (“NIS”).
Om deze reden is er ook een overlap met de NIS2-richtlijn, aangezien beiden soortgelijke verplichtingen bevatten. De reikwijdte van de NIS2-richtlijn is echter groter: NIS2 is van toepassing op organisaties in kritieke sectoren, zoals infrastructuur, gezondheidszorg, digitale infrastructuur en het bankwezen. Welke organisaties hier specifiek onder vallen, is opgenomen in de bijlagen van NIS2. De NIS2-richtlijn is ook van toepassing op een aantal financiële instellingen. De NIS2-richtlijn en DORA kunnen dus tegelijkertijd van toepassing zijn op jouw organisatie. Wanneer er overlap of conflict is tussen deze twee stukken wetgeving, krijgt DORA voorrang.
Waar DORA een verordening is en dus direct van toepassing in alle EU-lidstaten, moet de NIS2-richtlijn nog worden omgezet in nationaal recht (de Nederlandse Cyberbeveiligingswet). Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (“Wbni”) vervangen.
Onze handige cheat sheet geeft je binnen een minuut alle essentiële informatie over DORA. Het biedt een beknopt overzicht van belangrijke deadlines en maatregelen die nodig zijn om aan deze richtlijn te voldoen.
ICTRecht kan jouw organisatie in alle fasen (of delen ervan) adviseren, begeleiden en ondersteunen. Wil je weten hoe of meer informatie ontvangen hoe we dit doen? Neem gerust contact met ons op.
Juridische kracht én technische slimheid
Technologische ontwikkelingen gaan snel en lijken soms onoverzichtelijk. Daarom willen wij precies weten hoe het zit: niet alleen wat wet- en regelgeving betreft, maar ook technisch. Juist die combinatie stelt ons in staat om jou verder te helpen.
20 Jaar deskundigheid
Al 20 jaar volgen wij op de voet hoe technologie zich ontwikkelt en hoe wet- en regelgeving daarbij aansluit. Maar vooral onze praktijkervaring is van grote waarde: we kennen de knelpunten en weten hoe je ermee om kunt gaan.
Doelgericht en no-nonsense
Van ons geen omvangrijke rapporten, maar duidelijke oplossingen waarmee je direct aan de slag kunt. We zorgen dat je precies weet wat je nodig hebt, zonder het nodeloos ingewikkeld te maken.
Continu in beweging
We denken en bewegen mee met jou en jouw dagelijkse praktijk. Voor nieuwe uitdagingen vinden we nieuwe oplossingen. En we zoeken continu naar manieren om onze dienstverlening nog beter en effectiever te maken.
Laat een bericht achter via het formulier voor meer informatie. Een van onze juridisch adviseurs neemt dan contact met je op.
Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.