Het Europees Parlement heeft een voorlopig akkoord bereikt over de Digital Operational Resilience Act (DORA). Vanwege het steeds groter wordende risico op cyberaanvallen, wil de EU de beveiliging van financiële partijen zoals banken, verzekeringsmaatschappijen en beleggingsondernemingen per wet verbeteren. Einddoel daarbij is dat de financiële sector “veerkrachtig” kan blijven functioneren bij ernstige operationele verstoringen.
Na onder meer de DDoS-aanvallen op banken in 2013, waarbij enkele grote banken en iDEAL-betalingen enkele uren uitvielen, concludeerde men dat de ICT van de financiële sector van vitaal belang is. Hoewel de meeste lidstaten al strenge eisen stellen aan kritieke infrastructuur, wil de EU met DORA de ICT-regels van financiële instellingen gelijktrekken.
De nieuwe wet stelt uniforme vereisten vast voor de beveiliging van netwerk- en informatiesystemen van bedrijven die actief zijn in de financiële sector. Ook derde partijen die ICT-gerelateerde diensten verlenen – denk aan cloudplatforms of gegevensanalyse – vallen onder de DORA.
De EU legt uit dat men met de wet een regelgevingskader wil creëren voor digitale operationele veerkracht. In andere woorden: alle ondernemingen moeten ervoor zorgen dat zij “bestand zijn tegen, kunnen reageren op en kunnen herstellen van alle soorten ICT-gerelateerde verstoringen en dreigingen”.
Breder pakket
Het DORA-voorstel maakt onderdeel uit van het bredere “pakket digitaal geldwezen”, dat tot doel heeft een Europese aanpak te ontwikkelen die technologische ontwikkeling bevordert en financiële stabiliteit en consumentenbescherming waarborgt.
Naast het DORA-voorstel bevat het pakket een strategie voor het digitale geldwezen, een voorstel betreffende markten in cryptoactiva (MiCA) en een voorstel betreffende "distributed ledger"-technologie (DLT).