Handelssystemen vragen om scherpere ICT-risicobeheersing onder DORA
ICT-storingen, cyberincidenten en falende ICT-systemen kunnen het vertrouwen in de markt ondermijnen. Sinds januari 2025 zijn daarom Europese regels voor digitale weerbaarheid via DORA (Digital Operational Resilience Act) volledig van toepassing. De AFM heeft onderzocht hoe handelsplatformen hun ICT-risicobeheerraamwerk hebben ingericht en roept hen op om de bevindingen en aanbevelingen uit deze thematische verkenning te overwegen en waar mogelijk toe te passen bij hun verdere DORA-implementatie.
In het kort
- DORA‑gapanalyses zijn nog onvoldoende uitgewerkt
- Bepaalde onderdelen van het ICT‑risicobeheer raamwerk vragen om betere dekking
- Kwalificatie van vereiste documentatie kan consistenter
- Bij intragroep ICT-dienstverlening zijn DORA-conform beleid en procedures niet altijd geadopteerd op groepsniveau
Uit het onderzoek blijkt dat de basis doorgaans aanwezig is, maar dat verdere stappen nodig zijn om volledig en duurzaam aan DORA te voldoen.
DORA-gap-analyses zijn nog onvoldoende uitgewerkt
Handelsplatformen (gereglementeerde markten, multilaterale handelsfaciliteiten en georganiseerde handelsfaciliteiten) hebben doorgaans gap-analyses uitgevoerd, maar deze zijn vaak te globaal. Hierdoor blijven relevante DORA-vereisten soms buiten beeld en worden tekortkomingen pas later zichtbaar. Een meer gedetailleerde en periodieke beoordeling helpt om risico’s tijdig te identificeren en gericht bij te sturen.
Bepaalde onderdelen van het ICT risicobeheer raamwerk vragen om betere dekking
Een aantal onderdelen van het ICT-beheer raamwerk vraagt om aandacht met het oog op de eisen die DORA hieraan stelt. Met name op het gebied van security monitoring, toegangsbeheer, logging, noodwijzigingen en continuïteitsmanagement zijn verbeteringen mogelijk. Juist deze maatregelen zijn cruciaal voor cyberweerbaarheid en het ordelijk functioneren van de markt.
Kwalificatie van vereiste documentatie kan consistenter
Beleid en procedures zijn niet altijd duidelijk van elkaar onderscheiden. Daarmee is het niet altijd duidelijk of bepaalde vereisten zijn opgenomen in beleid als de regelgeving hierom vraagt. Dit is belangrijk met het oog op de governance en formele goedkeuring van het beleid. Heldere governance en formele goedkeuring van beleid zijn essentieel om aantoonbaar te voldoen aan de regelgeving.
DORA-beleid bij intragroep ICT-dienstverlening
Bij het gebruik van ICT-diensten binnen de groep zien we dat DORA-vereisten nog niet altijd eenduidig zijn verwerkt in het beleid en de documentatie op groepsniveau. Door DORA-conforme beleidskaders op groepsniveau vast te stellen, kunnen instellingen zorgen voor meer consistentie en een betere beheersing van ICT-risico’s.
Toezicht op digitale operationele weerbaarheid
Digitale operationele weerbaarheid is belangrijk. Daarom houden we toezicht op de naleving van de DORA vereisten. We volgen in hoeverre financiële instellingen aan deze regels voldoen. Ook kijken we in onze haar onderzoeken niet alleen naar beleid en procedures op papier, maar steeds nadrukkelijker naar de toepassing in de praktijk. Daarbij beoordelen we onder meer of maatregelen werken en bijdragen aan de digitale weerbaarheid van instellingen. Als instellingen niet (volledig) aan de wettelijke vereisten voldoen, grijpen we in.
Contact bij dit artikel
Wilt u het laatste nieuws van de AFM ontvangen?
Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.