Wet Digitale Operationele Veerkracht (DORA)

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (DORA)

Verordening (EU) 2022/2554, bekend als de Digital Operational Resilience Act (DORA), is een uitgebreid kader dat ervoor moet zorgen dat de financiële sector in de EU bestand is tegen en kan herstellen van ICT-gerelateerde verstoringen. De belangrijkste onderdelen zijn onder andere eisen voor ICT risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) management, incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) rapportage, het testen van de operationele veerkracht en risicobeheer door derden. DORA stelt ook een regelgevend toezichtskader vast voor kritieke derden. ICT-dienstICT-dienst Een dienst die geheel of hoofdzakelijk bestaat uit het overbrengen, opslaan, opvragen of verwerken van informatie door middel van netwerken en informatiesystemen - Definitie overeenkomstig artikel 2, punt 13, van Verordening (EU) 2019/881. aanbieders. Het consolideert en actualiseert ICT-risicoregels in verschillende regelgevingen en bevordert daarmee consistentie, rechtszekerheid en lagere nalevingskosten voor financiële entiteiten die grensoverschrijdend actief zijn.

Structuur en hoofdstukken

  1. Algemene bepalingen. Dit hoofdstuk beschrijft het toepassingsgebied en de doelstellingen van DORA, die van toepassing is op een breed scala aan financiële entiteiten, waaronder banken, beleggingsondernemingen en betalingsinstellingen. Het definieert belangrijke termen en legt de wettelijke basis voor de verordening, waarbij de noodzaak van een uniforme aanpak van digitale weerbaarheid in de hele EU wordt benadrukt.
  2. ICT-risicobeheer. Dit deel verplicht financiële entiteiten om allesomvattende ICT-risicobeheerkaders te implementeren. Deze kaders moeten alle aspecten van ICT-risico's omvatten, waaronder identificatie, bescherming, detectie, reactie en herstel. Entiteiten moeten hun risicobeheerstrategieën regelmatig herzien en bijwerken om in te spelen op veranderende bedreigingen.
  3. Rapportage van ICT-gerelateerde incidenten. DORA vereist dat financiële instellingen duidelijke procedures opstellen voor het melden van significante ICT-gerelateerde incidenten. Hieronder vallen incidenten die een substantiële impact hebben op de entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)van de activiteiten, de financiële stabiliteit of de bescherming van de fondsen en gegevens van klanten. Tijdige rapportage aan de bevoegde autoriteiten is cruciaal voor gecoördineerde reacties op EU-niveau.
  4. Testen van digitale operationele veerkracht
    Financiële entiteiten moeten regelmatig hun digitale operationele veerkracht testen, inclusief dreigingsgestuurde penetratietests (TLPT). Het doel is om de effectiviteit van hun ICT-risicobeheer en hun paraatheid voor potentiële cyberbedreigingen te beoordelen. Entiteiten die als kritiek zijn aangemerkt, moeten strengere tests ondergaan onder toezicht van bevoegde autoriteiten.
  5. Delen van informatie. Het DORA moedigt het delen van informatie over cyberbedreigingen en kwetsbaarheden tussen financiële entiteiten aan. Deze samenwerking is bedoeld om de collectieve weerbaarheid te vergroten door entiteiten in staat te stellen van elkaars ervaringen te leren en zich beter voor te bereiden op potentiële bedreigingen.
  6. Beheer van risico's van derden. Deze sectie regelt het gebruik van externe ICT-dienstverleners en erkent de risico's die gepaard gaan met het uitbesteden van kritieke functies. Financiële entiteiten zijn verplicht om risico's die voortvloeien uit externe dienstverleners te controleren en te beheren, en ervoor te zorgen dat deze dienstverleners voldoen aan strenge normen op het gebied van veerkracht. Kritische ICT-leveranciers kunnen ook onder rechtstreeks toezicht van EU-toezichthouders staan.
  7. Toezichtmaatregelen en sancties. De DORA verleent toezichthoudende autoriteiten de bevoegdheid om naleving af te dwingen en sancties op te leggen voor overtredingen van de verordening. In dit hoofdstuk wordt het toezichtkader geschetst, waarbij de bevoegdheden van nationale en Europese autoriteiten om ervoor te zorgen dat financiële entiteiten zich aan de vereisten houden, in detail worden beschreven. De sancties kunnen aanzienlijk zijn en weerspiegelen de ernst van de niet-naleving.

De verordening is bedoeld om een geharmoniseerde benadering van digitale operationele veerkracht te creëren, om ervoor te zorgen dat financiële systemen in de EU robuust en veilig zijn en bestand tegen ICT-gerelateerde verstoringen.

Ontvang de NIS 2 Checklist voor risico's in de toeleveringsketen

Download onze gratis NIS2-checklist voor risico's in de toeleveringsketen om er zeker van te zijn dat jouw organisatie voldoet aan de nieuwste normen. cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; nalevingsnormen moeiteloos.