Digital Operational Resilience Act (DORA) en IT-risico’s: waarom, wie en hoe?

De meeste mensen kennen Dora, het meertalige meisje dat met sidekick aapje Boots verschillende avonturen beleeft. Spoiler alert: Dat is niet de Dora waar wij het over gaan hebben. In januari 2023 is de Digital Operational Resilience Act (afgekort DORA) – onze hoofdrolspeler van vandaag – in werking getreden. De diverse instellingen die onder DORA vallen hebben tot 17 januari 2025 om aan de regelgeving te gaan voldoen. In deze blog zoomen wij in op de reikwijdte van DORA en diverse vereisten.

Wat is DORA?

DORA is een Europese verordening die tot doel heeft de financiële sector in de Europese Unie beter te beschermen en weerbaarder te maken tegen de toenemende bedreigingen op het gebied van cybersecurity. Denk hierbij aan cyberaanvallen zoals phishing en ransomware, maar ook datalekken. DORA biedt een uniforme set van regels waarmee de eisen aan de beveiliging van informatietechnologie geharmoniseerd worden. DORA is een aanvulling op de Network and Information Security Directive (NIS2) en de Algemene verordening gegevensbescherming (AVG). Waar DORA zich met name richt op de financiële sector, is NIS2 breder ingestoken. NIS2 richt zich namelijk op alle kritieke sectoren, zoals de energiebranche en de gezondheidszorg. Van belang is om als financiële entiteit goed te kijken naar de reikwijdtebepalingen van beide regelingen; in sommige gevallen is NIS2 namelijk uitgezonderd als DORA van toepassing is (art. 1 lid 2 DORA).

De financiële sector is steeds meer afhankelijk van technologie en software en daarmee van de aanbieders van de diverse tools en diensten. Wanneer zich problemen voordoen met de onderliggende technologie, kan dit voor kwetsbaarheid zorgen in de financiële keten. Dat is natuurlijk onwenselijk. DORA beoogt deze risico’s aan te pakken door een kader te geven voor betere beveiliging van digitale systemen en de bijbehorende infrastructuur. 

Om de robuustheid van de financiële sector voor wat betreft cybersecurity te ondersteunen, bevat DORA vijf pilaren. Dat zijn:

• ICT-risicobeheer (art. 5 t/m 16 DORA);
• Beheer, classificatie en rapportage van ICT-gerelateerde incidenten (art. 17 t/m 23 DORA);
• Testen van digitale operationele weerbaarheid (art. 24 t/m 27 DORA);
• Beheer van ICT-risico van derde aanbieders (art. 28 t/m 44 DORA);
• Informatie-uitwisseling over cyberdreigingen (art. 45 DORA).

Zoals geldt voor veel Europese regelingen, worden diverse onderwerpen door de Europese toezichthouders (de ESAs) verder uitgewerkt in Regulatory Technical Standards (RTS’en) en Implementing Technical Standards (ITS’en). In januari 2024 hebben de ESAs de eerste batch beleidsdocumentatie gepubliceerd. Onderdeel van deze batch is bijvoorbeeld de RTS to specify the detailed content of the policy in relation to the contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers (TPPs). Begin maart 2024 was de deadline voor de consultatie van de tweede batch RTS’en, ITS’en en een tweetal richtsnoeren (Guidelines). Het blijft dus opletten geblazen.

Welke organisaties vallen onder de reikwijdte van DORA?

DORA geldt allereerst voor banken, verzekeraars en andere financiële instellingen, zoals betaalinstellingen en aanbieders van cryptodiensten, maar DORA gaat verder. Zo vallen op grond van art. 2 lid 1, sub u DORA ook derde aanbieders van ICT-diensten onder de reikwijdte van de verordening, als ‘kritieke leveranciers’ aan de financiële sector. Denk hierbij bijvoorbeeld aan cloud computing-diensten, softwarediensten of datacentrumdiensten. Deze partijen vallen in het vervolg dus onder rechtstreeks toezicht van de ESAs.

Integrale aanpak

Voor de beheersing van ICT-risico’s, gaat DORA uit van een integrale aanpak. DORA is onderdeel van een breder pakket aan (voorgestelde) Europese regelgeving dat zich richt op digitale uitdagingen. Denk bijvoorbeeld aan de Cyber Resilience Act (CRA), een verordening met veiligheidseisen en -standaarden voor digitale producten.

Uitbesteding van IT-dienstverlening

Een financiële instelling moet onder DORA rekening houden met het volgende:

• Het delen van informatie over bedreigingen wordt verplicht;
• De third party risico’s moeten inzichtelijk worden gemaakt. Dit zijn de risico’s die de leverancier(s) van de instelling lopen (waarover hieronder meer);
• Er moet een incident response process zijn ingericht;
• Er moet een ICT Risk Management Framework zijn;
• Testen wordt verplicht en moet vaker gebeuren.

Mocht de organisatie dan toch geconfronteerd worden met een cyberaanval of datalek, dan is het idee dat zij in ieder geval voorbereid is door goed risicomanagement.

Wat betekent dit voor IT-dienstverleners?

Eén van de hoofddoelen van DORA is het mitigeren van (keten)risico’s rondom IT-uitbesteding door de financiële sector. Er zijn een aantal onderwerpen waar een financiële onderneming bij het contracteren met een IT-dienstverlener rekening mee moet houden, namelijk:

• Het organisatiebrede kader voor ICT-risicobeheer dat er moet komen;
• De strategie voor de risicobeheersing van third party risks die er moet komen. Deze strategie moet regelmatig worden herzien;
• Het opstellen van een register van alle contractuele overeenkomsten met IT-dienstverleners. De toezichthouder kan dit register opvragen. De ESAs stellen een format op. Zie ook het Final Report van januari 2024 hierover;
• Het opnemen van bepaalde contractuele bepalingen, waaronder een exit-strategie, de mate van gegevensbescherming en (bij kritieke of belangrijke functies die uitbesteed zijn) de rapportageverplichting van de IT-dienstverlener.

De IT-dienstverlener kan nu al aandacht aan deze onderwerpen besteden en bedenken hoe zij mogelijke risico’s heeft gemitigeerd, zodat snel en adequaat gereageerd kan worden bij (informatie)verzoeken van haar contractspartij en de contractwijzigingen die nodig zijn om aan DORA te voldoen niet als een verrassing komen.

Er komt dus een hoop op financiële ondernemingen en IT-dienstverleners af. Heeft jouw organisatie hulp nodig bij de implementatie van DORA? Neem dan contact op met onze specialisten.

Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).