Wat betekent DORA voor mijn organisatie?

Wat betekent DORA voor mijn organisatie?

Vanaf 2025 is de DORA verordening van kracht waaraan elke financiële entiteit moet gaan voldoen. Veel organisaties vragen zich dan ook af wat dit voor hen betekent. Gelukkig heeft Into control het antwoord voor u!

Into Control heeft een test voor u klaar staan die u vandaag nog kunt doen en die direct inzage geeft op een aantal belangrijke onderwerpen voor DORA. Daarnaast heeft Into Control een krachtige en volledige DORA scan ontwikkeld, waarmee u snel en exact weet wat u voor uw organisatie nog moet doen om te voldoen aan de vereisten van de DORA verordening. Klik hiernaast om direct meer te weten over onze uitgebreide scan of doe te test onderaan dit artikel waarin u veel meer leest over DORA.

Wacht niet langer en zorg dat u klaar bent voor de toekomst van uw IT organisatie.

DORA

12 januari heeft de AFM haar agenda voor 2023 gedeeld, waarin de Digital Operational Resilience Act (DORA) als een van de top prioriteiten wordt benoemd. DORA biedt een integrale aanpak voor het beheer van ICT risico’s. De nieuwe Europese wetgeving is ontstaan als reactie op de stijgende digitale afhankelijkheid van bedrijven en de toenemende dreiging van cyberaanvallen en datalekken.

De afhankelijkheid van ICT voor de financiële markten neemt elke dag toe, wat de noodzaak voor geharmoniseerde wetgeving omtrent dit onderwerp de laatste jaren heeft vergroot. Met de ingang van de DORA verordening zet de EU een stap vooruit richting het weerbaar maken van de financiële sector tegen significante operationele verstoringen veroorzaakt door nieuwe digitale dreigingen (e.g. cyber attacks).

De impact van DORA is relatief groot aangezien de verordening van toepassing is op een breed scala aan financiële entiteiten in de EU. Hieronder vallen onder meer banken, verzekeraars, crowdfundingdienstverleners, cryptodienstverleners, pensioenfondsen en beleggingsondernemingen. Als organisatie is het belangrijk om te weten of u actie moet ondernemen, welke stappen er gezet moeten worden en binnen welke termijn dit moet worden gedaan.

Per 17 januari 2025 dienen alle financiële entiteiten compliant te zijn met DORA. Hoewel dit nog even op zich laat wachten, raden wij aan om nu so snel mogelijk een inventarisatie te maken van de belangrijke punten voor uw organisatie en alvast een aantal zaken omtrent DORA op te pakken. In dit artikel zullen we dieper ingaan op de achtergrond, de belangrijkste aspecten van DORA en waar u nu alvast mee kunt starten.

DORA stelt eisen en geeft richtlijnen aan bedrijven in de financiële sector zodat de digitale systemen en infrastructuur worden beveiligd en beheerd en zodat de organisaties tijdig en voorbereid kunnen reageren op cyberincidenten en datalekken. Door middel van deze wetgeving zijn bedrijven in de nabije toekomst beter voorbereid op digitale bedreigingen en de impact hiervan.

Belangrijkste vereisten van DORA

Hoewel de verordening ruimte laat voor gedelegeerde handelingen, ofwel verdere regelgeving op dit gebied, zijn de hoofdlijnen vrij specifiek vastgesteld. De volgende categorieën kunnen worden teruggevonden in DORA:

Herzien organisatie en bestuur

Onder DORA zijn er specifieke bestuurlijke en organisatorische vereisten die moeten worden gevolgd op het gebied van ICT risico monitoring.

Implementeren ICT risk management framework

Het is vereist voor financiële entiteiten een ICT Risk Management Framework te implementeren als deel van het algemene risicobeheersysteem.

ICT-incident rapportage

Een specifieke procedure voor het melden van ICT-gerelateerde incidenten moet worden geïmplementeerd.

Digital Operationele Weerbaarheidsstrategie

Maatregelen moeten worden genomen om cyberincidenten te voorkomen, ontdekken, de schade te kunnen beperken en een snel herstel te kunnen waarborgen.

Toezicht ICT-risico beheer op derde partijen

Onder DORA zijn financiële entiteiten verantwoordelijk voor de ICT-risico’s van derde partijen en deze risico’s te definiëren en bewaken.

 

Hoe starten met DORA?

Januari 2025 lijkt nog ver in de toekomst, maar toch is het belangrijk om tijdig te beginnen met de implementatie van DORA. Het is een ingewikkeld kader dat vele aspecten omvat en vraagt om aanpassingen binnen verschillende afdelingen van uw organisatie.

Ten eerste is het van belang om na te gaan welke personen binnen de organisatie betrokken zijn bij de betreffende onderwerpen in de DORA. Stel ze op de hoogte van de nieuwe verordening en laat ze zich inlezen in het onderwerp. Wanneer de organisatie in kaart heeft gebracht wie er betrokken en verantwoordelijk zijn voor dit implementatieproces, kunnen er stapsgewijs vervolgstappen genomen worden.

Tevens is het van belang om snel te bepalen in hoeverre de organisatie al voldoet aan de vereisten uit de DORA en, in het geval dat de organisatie nog niet voldoet aan een bepaald vereiste, te inventariseren welke systemen, middelen of procedures vereist zijn om wel te kunnen voldoen. Zodra deze zijn gedefinieerd kan de organisatie de vereisten met de binnen organisatie verantwoordelijke personen de verordening implementeren.

De DORA test.

Into Control heeft een DORA test ontwikkeld waarbij eenvoudig bepaald kan worden waar uw organisatie op dit moment staat op dit belangrijke onderwerp.

 Geheel gratis en vrijblijvend kunt u onderstaande test invullen om erachter te komen waar uw organisatie op dit moment staat ten opzichte van een aantal DORA-onderwerpen.   

Benieuwd?  Doe dan de test hier!

Direct benieuwd naar onze uitgebreide DORA scan?

Benieuwd hoe het volledige DORA framework zich verhoudt tot uw organisatie? Wij voeren tegen lage kosten met een team van Compliance en Cyber experts een uitgebreide scan voor u uit. 

Meer weten? Laat uw gegevens achter en wij nemen zo snel mogelijk contact met u op met meer informatie over onze uitgebreide scan!

Ervaring uit de praktijk 

Into Control Academy heeft op ons verzoek een praktische maatwerk programma ontwikkeld en verzorgd voor onze medewerkers. De ervaren docenten zijn in staat gebleken om op een boeiende wijze een brug te slaan tussen de praktijk en de theorie.

Chelize Perez

Manager Revisio, Van Ameyde

Deze cursus geeft een uitstekend inzicht in de achtergronden, algemene werking en opzet van een control framework. Het kan hierdoor ook goed gebruikt worden om draagvlak te creëren voor een ISAE 3402 of ERM implementatie.

Risk Manager

Financiële Dienstverlening

Cursus biedt veel meerwaarde. Risico Management krijgt een prominente plek en de cursus geeft veel handvatten om de Riskfunctie te professionaliseren. Docenten hebben veel kennis en ervaring en zetten dit op de juiste wijze in.

Kwaliteitsmanager

Zorg