DORA - Digital Operational Resilience Act

De Digital Operational Resilience Act (DORA) is een verordening van de Europese Unie (EU) die gedetailleerde eisen stelt aan de operationele weerbaarheid van de informatie- en communicatietechnologie (ICT)-infrastructuur van financiële entiteiten, waaronder banken, pensioenfondsen en vermogensbeheerders. De verordening is op 16 januari 2023 in werking getreden en is van kracht vanaf 17 januari 2025. Het doel van deze verordening is het versterken van de digitale operationele veerkracht van de financiële sector tegen cyberaanvallen en verstoringen.

Scope

DORA is van toepassing op twintig type financiële entiteiten, alsmede hun externe ICT-dienstverleners. Belangrijke pijlers onder DORA zijn: governance op het gebied van ICT-risicobeheer, incidentrapportage, testen van digitale operationele veerkracht en risicobeheer van derden. Het is belangrijk om op te merken dat de financiële entiteit die haar ICT-activiteiten heeft uitbesteed, uiteindelijk verantwoordelijk voor de gehele keten is. Dit geldt dus ook voor de operationele ICT-veerkracht van de externe leveranciers. Als u door de Nationale Bevoegde Autoriteiten (NBA's) in uw land bent aangewezen als een kritische derde partij, somt de DORA-verordening enkele speciale nalevingsvereisten voor u op. Vanuit de DORA verordening wordt aanbevolen om bij het ontwerpen van een compliance strategie rekening te houden met het proportionaliteitsbeginsel. Bent u geclassificeerd als een micro-financiële instelling? Dan bent u nog steeds verplicht om aan DORA te voldoen; De mate van naleving varieert echter, afhankelijk van de grootte van uw organisatie.

Kritieke derde partijen 

DORA erkent het belang van grote of kritische spelers in het Europese financiële systeem en heeft daarom een ​​aparte sectie gewijd aan het versterken van de operationele veerkracht en het toezicht op dergelijke kritische derde partijen. De 'criticiteit' van een derde partij vloeit voort uit het feit dat andere financiële instellingen ervan afhankelijk zijn en dat het operationele falen ervan kan resulteren in een domino-effect zoals de financiële crisis van 2008 en de daaropvolgende recessie. Met de toenemende mondialisering en onderlinge afhankelijkheid neemt de kans voor dergelijke domino-effecten toe. Voorbeelden van dergelijke kritische derde partijen zijn grote Europese banken, zoals ING of BNP Paribas. Een ander voorbeeld van een kritische derde partij zijn de pan-Europese externe cloud serviceproviders van financiële instellingen, zoals Google of Microsoft.

Harmonisatie

Om een ​​geïntegreerde inspanning voor het versterken van het Europese financiële systeem te garanderen, streeft DORA naar consistente regels voor operationele veerkracht in alle EU-lidstaten. Op nationaal niveau zijn volgens DORA de NBA’s verantwoordelijk voor een dergelijke harmonisatie. In Nederland kunnen deze NBA’s bijvoorbeeld de Nederlandse Autoriteit Financiële Markten (AFM) en de Nederlandsche Bank (DNB) zijn, die toezicht zullen houden op de Nederlandse financiële sector. NBA's zijn ook verantwoordelijk voor het formuleren van dergelijke duidelijke richtlijnen voor de naleving van DORA, bijvoorbeeld sjablonen voor incidentenregisters of registers van externe ICT-providers.

Conclusie

DORA wordt vanaf 17 januari 2025 volledig effectief. De Europese financiële instellingen hebben daarom beperkte tijd om DORA te analyseren en de implicaties ervan voor hun risicokaders en dagelijkse activiteiten te begrijpen. Om nog maar te zwijgen over het feit dat niet-naleving van DORA na genoemde datum kan resulteren in boetes en andere, (strenge) maatregelen van NBA’s. Is uw organisatie nog niet DORA-compliant? Wij zijn er om u te helpen en te begeleiden bij dit proces, zodat u zich kunt blijven concentreren op uw kernactiviteiten.

De oplossingen van Mylette voor naleving van de regelgeving

Met jarenlange praktijkervaring in implementatie- en operationele processen biedt Mylette verschillende oplossingen om DORA-compliant te worden en te blijven. Wij geloven dat iedere klant uniek is en een daardoor een unieke aanpak nodig heeft. Daarom kunnen deze compliance-oplossingen op de wensen van uw organisatie worden afgestemd.  Van een gestructureerde (start)begeleiding tot aan de implementatie en volledige naleving van DORA, Mylette kan u hierbij assisteren. Onze oplossingen zullen financiële instellingen helpen om door het complexe regelgevingslandschap te navigeren en hun digitale veerkracht te vergroten.

Vergeet niet ORCA (Operational Risk & Control Application) te bekijken, ons platform voor niet-financieel risicobeheer waarmee u de controle kunt nemen en houden over compliance en andere niet-financiële risico's

 

Wilt u meer weten?

Neem vandaag nog contact met ons op!