Go to content
""
Nieuws 01/12/23

DORA-Update: aandacht voor beheren van ICT-risico’s van derde aanbieders

De Autoriteit Financiële Markten (AFM) heeft haar tweede publicatie uitgegeven waarin de inhoudelijke aspecten van de Digital Operational Resilience Act (DORA) worden toegelicht. In deze editie (pdf, 540 kB) wordt ingegaan op het beheren van ICT-risico’s van derde aanbieders. Op deze manier kunnen ondernemingen analyseren waar ze staan op dit vlak en welke stappen ze eventueel nog moeten zetten om aan de verordening te voldoen.

Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen.

Stabiele keten

Om in de hele keten weerbaar te zijn tegen cyberdreigingen en ICT-verstoringen, is het belangrijk om aandacht te besteden aan de risico’s van het afnemen van ICT-diensten van derde aanbieders. Om te beginnen moeten ondernemingen expliciet aandacht besteden aan de IT-risico’s die voortkomen uit het gebruiken van diensten van derde aanbieders. Daarnaast verwacht DORA dat ondernemingen een strategie ontwikkelen voor het beheersen van deze zogenoemde third party risks, waarbij de risico’s van het uitbesteden van kritieke diensten regelmatig worden herzien. Ook wordt voorgeschreven welke elementen ondernemingen op moeten nemen in contractuele overeenkomsten met derde aanbieders. In deze publicatie wordt verder ingegaan op deze onderwerpen en hoe deze DORA-proof te krijgen.

Toezicht op de verordening

Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.

Contact bij dit artikel

AFM

Wilt u het laatste nieuws van de AFM ontvangen?

Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.