Nieuws 07/03/24

DORA-update: stel kader op voor ICT-risicobeheer

De Autoriteit Financiële Markten (AFM) heeft haar derde publicatie uitgegeven waarin de inhoudelijke aspecten van de Digital Operational Resilience Act (DORA) worden toegelicht. In deze editie gaan we in op het ICT-risicobeheer. Door voldoende aandacht te besteden aan ICT-risicobeheer, krijgen organisaties een beeld van hun ICT-risico’s en hoe zij de effecten hiervan tot een minimum kunnen beperken. Dit draagt bij aan een grotere digitale weerbaarheid van ondernemingen.

Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen.

Weerbaar

Om weerbaarder te worden tegen cyberdreigingen en ICT-verstoringen beschrijft de verordening verschillende vereisten op het gebied van ICT, waaronder voor het ICT-risicobeheer (ofwel ICT Risk Management). Ondernemingen kunnen nu al analyseren of ze op dit punt aan de DORA-vereisten voldoen om vervolgens (indien nodig) tot actie over te gaan. Goed ICT-risicobeheer helpt organisaties om op gestructureerde wijze ICT-risico’s te detecteren en beheersen. De vereisten worden in de verordening beschreven in hoofdstuk II (artikel 5 t/m 16) en in de RTS over ICT Risk Management. In deze DORA Update wordt onder andere ingegaan op het ICT Risk Management framework, Business Continuity Management (BCM) en de scholing en ontwikkeling van medewerkers op het gebied van ICT-beveiliging en digitale operationele weerbaarheid.

Toezicht op de verordening

Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.