DORA; tijd om uit de startblokken te komen

Hoe ver zijn financiële instellingen met hun voorbereidingen op de Digital Operational Resilience Act (verder, DORA)? Ligt er een gap-analyse en activiteitenplan klaar en is de governance voor de implementatie helder? Of zijn financiële instellingen in afwachting van de nadere regelgeving, waarvan de eerste definitieve publicatie eind 2023 wordt verwacht? Op het in de zomer gehouden DNB DORA-seminar, spoorde DNB de pensioen- en verzekeringssectoren aan om de start van de implementatie van DORA voortvarend op te pakken. In november 2023 organiseert DNB een soortgelijk seminar voor de sector banken- en betalingsverkeer

Wat is DORA?

DORA is een Europese verordening van toepassing voor de gehele Europese financiële sector. Deze verordening vervangt bestaande regelgeving, en stelt stringente eisen om de cyberweerbaarheid van de financiële sector te verhogen. DORA richt zicht op ICT-risicomanagement, ICT-incidenten, periodieke testen van digitale weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking ten aanzien van uitwisseling van informatie over cyberdreigingen. DORA bestaat uit een inmiddels gepubliceerde verordening (level 1 wetgeving), en onderliggende Regulatory Technical Standards (verder RTS) en Implementing Technical Standards (verder ITS). De RTS’en en ITS’en (level 2 wetgeving) bevatten specifieke eisen.

Wat zijn de tijdslijnen voor de implementatie van DORA?

De DORA verordening is per 17 januari 2023 in werking getreden. Instellingen hebben tot 17 januari 2025 om compliant te zijn met de verordening.

Ondertussen verwerken de verschillende Europese toezichtsinstanties de consultatiereacties ten behoeve van de gedetailleerde uitwerking en technische details van de verordening. Die krijgen een plek in de onderliggende RTS en ITS documenten, die in batches worden uitgebracht. De eerste batch is in de zomer van 2023 ter consultatie aan de sector voorgelegd; naar verwachting zijn de definitieve versies van deze batch eind 2023 beschikbaar. De tweede batch wordt eind 2023/begin 2024 ter consultatie aan de sector voorgelegd en de definitieve versies zijn naar verwachting in de zomerperiode van 2024 beschikbaar. Daarna resteert dan nog een implementatieperiode voor financiële instellingen van slechts zes maanden. Daarom benadrukt DNB het belang om tijdig en voortvarend te starten met de implementatie van DORA. Hoewel de details in de RTS‘en en ITS’en zit, zullen geen nieuwe onderwerpen worden geïntroduceerd ten opzichte van de huidige verordening.

DNB DORA Seminars en rondetafelgesprekken

Ruim 100 vertegenwoordigers van verzekeraars, pensioenfondsen en pensioenuitvoeringsorganisaties (verder PUO’s) hebben op 6 juli 2023 het DNB DORA-seminar bijgewoond. In november 2023 organiseert DNB een soortgelijk seminar voor de sector banken- en betalingsverkeer.

De deelnemers ontvingen inzicht in de achtergronden, doelstellingen en ontwikkeling van DORA vanuit het toezicht perspectief. De deelnemers ontvingen verder een toelichting op de voortgang en consultatiemomenten van enkele RTS- en ITS-documenten, gericht op ICT-risicomanagement Frameworks, ICT-incidentmanagement, ICT-uitbesteding en het informatieregister voor ICT-contracten. Het seminar werd afgesloten met een toelichting op de update van de DNB Good Practice Informatiebeveiliging die op dat moment in consultatie was. Daarnaast lieten vertegenwoordigers uit de sector gedurende dit seminar verschillende signalen horen over mogelijke implementatierisico’s en interpretatievraagstukken. Om die reden organiseert DNB begin december 2023 voor verzekeraars, pensioenfondsen en PUO’s interactieve sessies over actuele vraagstukken. De uitnodigingen voor deze ‘DORA rondetafelgesprekken’ zijn inmiddels verstuurd. De uitkomsten uit deze sessies worden uiteraard via een nieuwsbericht met de betrokken sectoren gedeeld. 

Start voordat het te laat is

Tijdens het seminar op 6 juli 2023 jl. riep DNB de aanwezigen op om van start te gaan met een inventarisatie van de activiteiten die nodig zijn om te kunnen voldoen aan DORA. Alhoewel de lagere regelgeving nog niet definitief is, is dit geen belemmering om niet al voortvarend van start te gaan met de implementatie van de DORA level 1-regelgeving.

Wat kunnen instellingen nu al doen om tijdig klaar te zijn voor DORA?

  • Zorgen dat instellingen volledig voldoen aan het huidige wettelijk kader. De huidige Q&A en DNB Good Practice Informatiebeveiliging, alsmede de bestaande richtsnoeren van EBA en EIOPA, kunnen hierbij worden gebruikt.
  • Relevant is dat bestuurders en interne toezichthouders het kennisgebied met betrekking tot ICT risicomanagement op een minimaal niveau brengen en actueel houden.
  • Ter voorbereiding op DORA kan een financiële instelling het kennisniveau van bestuurders en toezichthouders, de ICT gerelateerde beleidstukken, processen, procedures en IT-rollen alvast evalueren. Realiseer wel dat de (concept) RTS’en voor risicomanagement en uitbesteding met name voor een aantal sectoren (w.o. verzekeraars en pensioenfondsen) op onderdelen veel verder gaan dan de huidige wettelijke uitgangspunten. Denk hierbij bijvoorbeeld aan de inrichting van een strategie gericht op operationele weerbaarheid, back-ups en herstel, het bedrijfscontinuïteitsplan, awareness-programma’s, crisisbeheer, de informatiebeveiligingsfunctie en het integreren van derde partijen binnen het ICT risico-framework.
  • Maak bijvoorbeeld een gap-analyse op basis van de DORA level 1-regelgeving met een activiteitenplan. Deze gapanalyse kunnen instellingen later aanscherpen op basis van gepubliceerde level 2-regelgeving.
  • Ga in gesprek met serviceproviders over de komende aanscherping van de wettelijke vereisten gericht op contractering, risicobeoordeling en monitoring. Serviceproviders zullen hun werkwijze ook moeten aanscherpen. Hoe handelt een financiële instelling als serviceproviders het verwachtte niveau niet binnen de termijn gaan halen?
  • Begin met het maken van afspraken met kritieke derde partijen over het ontvangen van toereikende assurance rapportages voor de gehele kritieke uitbestedingsketen. We zien in praktijk dat de huidige COS/SOC rapportages niet altijd toereikend zijn. 

DNB actualiseert de Good Practice informatiebeveiliging

Binnenkort publiceert DNB de nieuwe versie van de Good Practice informatiebeveiliging (GPIB). Nadere berichtgeving volgt in een separaat nieuwsbericht. De GPIB geeft de onder toezicht staande instellingen handvatten die hen kan helpen bij het voldoen aan toepasselijke wet- en regelgeving op dit gebied. DNB actualiseert de GPIB in aanloop naar DORA: actuele voorbeelden van beheersmaatregelen worden bijvoorbeeld opgenomen. Let wel: de GPIB wordt weliswaar geactualiseerd, maar (nog) niet alle elementen van DORA zijn hierin opgenomen. De geactualiseerde GPIB kan niet worden gezien als volledig als het gaat om DORA; in het bijzonder geldt dat de onderliggende RTS’en- en ITS’en nog niet volledig zijn opgenomen. De komende jaren bezien we op welke wijze de GPIB van DNB past in het toezicht op de naleving van DORA vanaf 17 januari 2025.

DNB publiceert in het kader van de Europese cyberbeveiligingsmaand in oktober een aantal nieuwsberichten over cybersecurity en daaraan gerelateerde onderwerpen. 

De Europese cyberbeveiligingsmaand is de jaarlijkse campagne van de Europese Unie die is gericht op het bevorderen van cyberbeveiliging onder EU-burgers en -organisaties, en het verstrekken van actuele beveiligingsinformatie door middel van bewustmaking en het delen van Good Practices. De campagne wordt ondersteund door EU-lidstaten en honderden partners uit Europa en daarbuiten.