Voorbereiden op DORA-compliance: wat financiële instellingen moeten weten

10 februari 2025 Banken.nl

DORA-compliance is officieel van toepassing! Vanaf 17 januari 2025 zijn financiële instellingen verplicht te voldoen aan de eisen van de Digital Operational Resilience Act (DORA). Met nationale toezichthouders zoals de Autoriteit Financiële Markten en De Nederlandsche Bank die hun controle aanscherpen, is dit hét moment om prioriteit te geven aan de naleving van DORA. Hieronder geeft Melissa Santonocito van Compliance Champs een overzicht van wat financiële instellingen kunnen verwachten en hoe ze voorop kunnen blijven lopen.

Wat verandert er in 2025?

Vanaf dit jaar zullen toezichthouders actief controleren hoe financiële instellingen voldoen aan DORA. Dit omvat onder meer het indienen van kritieke informatie bij de Europese Toezichthoudende Autoriteiten (EBA, EIOPA, en ESMA) en het waarborgen van operationele veerkracht binnen de financiële sector.

Voor meer informatie kunt u de officiële tekst van de DORA-regelgeving raadplegen: DORA Regulation (EU) 2022/2554.

Belangrijke prioriteiten voor 2025

1. Indienen van het informatieoverzicht

Een van de eerste belangrijke mijlpalen voor DORA-compliance is het opstellen en indienen van een informatieregister, ook wel "Register of Information".

  • Deadline: De AFM en DNB moeten uiterlijk 30 april 2025 de eerste informatieoverzichten indienen bij de Europese Toezichthoudende Autoriteiten (ESA’s).
  • Acties: Organisaties die onder DORA vallen, kunnen kort na de officiële ingangsdatum van DORA een informatieverzoek van de AFM verwachten. Het is essentieel om nu al voorbereidingen te treffen om aan deze deadline te voldoen.
  • Jaarlijkse updates: Na de initiële indiening wordt van instellingen verwacht dat zij jaarlijks een geüpdatet overzicht indienen. De AFM en DNB zullen deze informatie voorafgaand aan de indiening controleren.

Dit overzicht stelt de ESA’s in staat om aanbieders van ICT-diensten te identificeren, die vervolgens onder direct toezicht van de ESA’s komen te staan.

2. Melden van ICT-gerelateerde incidenten

Het tijdig melden van grote ICT-incidenten is een andere belangrijke vereiste onder DORA.

  • Meldingstermijn:
    • Meld grote incidenten binnen 4 uur na classificatie als “major".
    • Dien een tussentijds rapport in binnen 72 uur.
    • Lever een eindrapport aan binnen 1 maand.
  • Proactieve communicatie: Naast verplichte meldingen van grote incidenten wordt ook het vrijwillig melden van cyberdreigingen aangemoedigd. Dit draagt bij aan een beter inzicht in de sectorbrede risico’s.

De AFM zal meldingen beoordelen op volledigheid en kan aanvullende informatie opvragen om de volledige impact te begrijpen.

3. Threat-led penetration testing (TLPT)

Voor bepaalde instellingen wordt dreigingsgerichte penetratietesting (Threat-Led Penetration Testing, TLPT) een verplicht onderdeel van DORA-compliance.

  • Selectie: Instellingen die hiervoor in aanmerking komen, ontvangen een schriftelijke kennisgeving van de AFM.
  • Voorbereiding: De AFM biedt begeleiding gedurende het hele proces, van planning tot uitvoering.
  • Certificering: Succesvolle afronding van de test leidt tot een certificaat dat compliance aantoont.

Wat kunt u nu doen?

  • Begin direct: Begin met het voorbereiden van uw "Register of Information" en bekijk uw procedures voor het melden van incidenten.
  • Werk samen: Zorg dat uw ICT- en compliance-teams volledig op de hoogte zijn van de eisen van DORA.
  • Blijf geïnformeerd: Volg updates van de AFM en wees voorbereid op verzoeken of meldingen.

Waarom DORA belangrijk is

DORA draait niet alleen om naleving van regelgeving, maar ook om het versterken van de digitale operationele veerkracht van de financiële sector. Door tijdig actie te ondernemen, kunt u risico’s beperken, aantonen dat uw organisatie aan de eisen voldoet, en vertrouwen opbouwen bij stakeholders.

"Laten we deze uitdaging zien als een kans om de operationele veerkracht en cybersecurity in de sector te verbeteren", besluit Santonocito. "Is uw organisatie klaar voor DORA? Deel uw gedachten met ons!"

Lees ook

Meer over Compliance Champs
Profielpagina
Compliance Champs
Compliance Champs is een partner van Banken.nl
Het versterken van TBML-risicomanagement: van schijnaanpak naar datagedreven
Het versterken van TBML-risicomanagement: van schijnaanpak naar datagedreven Trade Based Money Laundering is een van de meest complexe en tegelijkertijd onderkende methoden voor het witwassen van geld.
19 december 2024

Cybercrime nieuws

Meer Cybercrime nieuws

Cybersecurity nieuws

Meer Cybersecurity nieuws

Risk & Compliance nieuws

Meer Risk & Compliance nieuws