Wat is Dora? Wet Digitale Operationele Veerkracht voor Financiële Diensten
door
Laatst bijgewerkt:
4 leestijd: 4 minuten
Aangenomen: november 2022
In werking getreden: 16 januari 2023
Van toepassing vanaf: 17 januari 2025 (volledige nalevingsdatum)
De Digital Operational Resilience Act (DORA) is een bindende EU-verordening die bedoeld is om de digitale operationele veerkracht van de financiële sector te versterken. DORA vervangt de bestaande financiële regelgeving niet, maar vult deze aan door een uniform kader vast te stellen voor het beheer van ICT- en operationele risico's bij financiële instellingen en hun kritieke technologieleveranciers.
Vanaf 17 januari 2025 moeten alle financiële instellingen en relevante externe ICT-dienstverleners die binnen de EU actief zijn, voldoen aan de vereisten van DORA.
Het doel van DORA is ervoor te zorgen dat organisaties ICT-gerelateerde verstoringen, waaronder cyberaanvallen, kunnen voorkomen, weerstaan, erop kunnen reageren en ervan kunnen herstellen, terwijl de continuïteit van kritieke financiële diensten gewaarborgd blijft.
Bekijk: Deloitte's nieuwe regels voor DORA-compliance
Belangrijkste Conclusies
- DORA is EU-wetgeving, geen voorstel, en moet vanaf 17 januari 2025 verplicht worden nageleefd.
- Het is van toepassing op financiële instellingen in de EU en de ICT-dienstverleners die hen ondersteunen.
- DORA is gebaseerd op vijf verplichte pijlers die betrekking hebben op ICT-risico's, incidentafhandeling, testen en toezicht door derden.
- Organisaties moeten gestructureerde ICT-risicobeheer- en incidentresponscapaciteiten opzetten.
- Grote ICT-incidenten moeten worden geclassificeerd en gemeld binnen strikte wettelijke termijnen.
- Het toezicht op kritieke ICT-derden (CTPP's) wordt uitgevoerd door Europese toezichthoudende autoriteiten (ESA's).
Wat betekent de Digital Operational Resilience Act (DORA) voor uw bedrijf?
DORA introduceert belangrijke veranderingen in de manier waarop financiële instellingen omgaan met digitale en operationele veerkracht. Volgens de verordening moeten organisaties een uitgebreid ICT-risicobeheerkader implementeren dat bestaat uit welomschreven beleidsregels, procedures, controles en bestuursmechanismen.
Financiële instellingen zijn verplicht om gedocumenteerde incidentrespons- en herstelplannen bij te houden, waarin gedetailleerd wordt beschreven hoe zij ICT-storingen, waaronder cyberincidenten zoals phishingaanvallen, ransomware of dienstonderbrekingen, zullen detecteren, erop zullen reageren en ervan zullen herstellen.
Daarnaast vallen ICT-dienstverleners die financiële instellingen ondersteunen onder het toepassingsgebied van DORA en zijn zij onderworpen aan strengere contractuele, monitoring- en risicobeheerverplichtingen.
Vereenvoudig Dora met PowerDMARC!
Toepassingsgebied en toepasselijkheid van DORA
DORA is van toepassing op:
- Financiële instellingen die actief zijn binnen de EU (waaronder banken, verzekeraars, beleggingsondernemingen, fintechs en betalingsinstellingen)
- Externe ICT-dienstverleners die deze financiële instellingen ondersteunen
ICT-providers die als cruciaal worden beschouwd, staan onder direct toezicht van de Europese toezichthoudende autoriteiten (ESA's) om ervoor te zorgen dat hun veerkracht en risicobeheersing voldoen aan de DORA-normen.
DORA biedt geen vrijwillige certificering aan voor organisaties die buiten dit toepassingsgebied vallen. Niet-financiële organisaties kunnen soortgelijke beste praktijken toepassen, maar kunnen op grond van de verordening niet als "DORA-conform" worden beschouwd.
Kernvereisten onder DORA
DORA is opgebouwd rond vijf verplichte pijlers:
ICT-risicobeheer
Het opzetten van governance, beleid, controles en procedures om ICT-risico's te beheren
voor het melden van ICT-gerelateerde incidenten
Classificatie van ernstige incidenten en verplichte melding aan toezichthouders binnen vastgestelde termijnen
(inclusief een eerste melding binnen enkele uren, gevolgd door updates en een eindrapport)
Digitale operationele veerkracht testen
Regelmatig testen van systemen, processen en controles om kwetsbaarheden te identificeren
ICT-risicobeheer door derden
Beheer van risico's die voortvloeien uit uitbestede ICT-diensten door middel van contracten, monitoring en exitstrategieën
Informatie-uitwisselings
Bevordering van vrijwillige uitwisseling van informatie over cyberdreigingen binnen de financiële sector
Deze maatregelen zijn bedoeld om ervoor te zorgen dat zowel financiële instellingen als hun ICT-partners veilig kunnen blijven werken, zelfs tijdens ernstige digitale verstoringen.
Naleving van DORA bereiken
Om aan de DORA-vereisten te voldoen, moeten organisaties een duidelijk omschreven ICT-risico- en veerkrachtprogramma implementeren, dat doorgaans het volgende omvat:
- Doorlopende risicobeoordelingen en kwetsbaarheidstests
- Procedures voor incidentdetectie, classificatie en respons
- Bedrijfscontinuïteit en noodherstelplanning
- Bewustmakings- en opleidingsprogramma's voor werknemers
- Toezicht op ICT-leveranciers en onderaannemers
Een gedocumenteerd en consistent geïmplementeerd raamwerk helpt organisaties om naleving aan te tonen en vertrouwen op te bouwen binnen het financiële ecosysteem.
De DORA-wet: Belangrijkste voorwaarden en doelen
DORA heeft tot doel ervoor te zorgen dat de financiële sector van de EU veilig, stabiel en veerkrachtig blijft in het licht van toenemende digitale bedreigingen. De belangrijkste verwachtingen op het gebied van regelgeving zijn onder meer:
- Een duidelijk omschreven plan voor ICT-incidentrespons en -herstel
- Voortdurende beoordeling en beperking van ICT-risico's
- Sterke beveiligingsmaatregelen voor netwerken, systemen en infrastructuur
- Tijdige en gestructureerde rapportage van belangrijke ICT-incidenten aan toezichthouders
- Maatregelen om de continuïteit van kritieke diensten tijdens verstoringen te waarborgen
Stap dichter bij DORA-conformiteit met PowerDMARC
Nu organisaties hun digitale veerkracht versterken in reactie op DORA, blijft e-mail een cruciale aanvalsvector die moet worden beschermd als onderdeel van een bredere ICT-beveiligingsstrategie.
Hoewel DORA geen expliciete e-mailverificatieprotocollen voorschrijft, verplicht het organisaties wel om hun netwerken, systemen en communicatie-infrastructuur te beveiligen. Het implementeren van krachtige e-mailbeveiligingsmaatregelen sluit aan bij de bredere doelstellingen van DORA op het gebied van risicobeperking en incidentpreventie.
PowerDMARC is een multi-tenant SaaS-platform dat organisaties helpt de beveiliging van hun e-mailkanalen te versterken door middel van een volledige suite voor e-mailverificatie. We voldoen aan ISO 27001, SOC 2 Type II en de AVG en werken samen met financiële organisaties om e-mailgebaseerde bedreigingen te verminderen en het inzicht in verificatierisico's te verbeteren.
We helpen je:
- Bescherm uzelf tegen spoofing en identiteitsfraude met DMARC
- Verminder risico's van downgrade- en onderscheppingsaanvallen met MTA-STS
- Krijg inzicht in de resultaten van e-mailverificatie via DMARC-rapportage
- Voorkom SPF-lookup-fouten met geautomatiseerde SPF-afvlakking
Neem vandaag nog contact met ons op om uw e-mailbeveiliging te versterken als onderdeel van een DORA-conforme ICT-risicostrategie.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
