Financiële ondernemingen moeten vanaf 17 januari volgend jaar voldoen aan de Digital Operational Resilience Act (Dora). Deze Europese verordening dwingt financiële organisaties om hun ict-risico’s te beheersen en daarmee weerbaar te zijn tegen cyberdreigingen. Omdat veel organisaties hiermee worstelen, komt de Autoriteit Financiële Markten (AFM) nu met een checklist.
De Dora-checklist is gebaseerd op eerdere uitvragen rondom ict-beheersmaatregelen bij financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen. Organisaties kunnen de lijst als startpunt gebruiken om helder te krijgen wat er qua beleid en procedures nodig is om te voldoen aan de Dora. Dat is hard nodig want de voorbereidingen erop zijn nu nog vaak ondermaats, concludeert de AFM die doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector monitort. Onderdeel van die controles zijn onderzoeken waarin ondernemingen zelf de volwassenheid van ict-beheersmaatregelen een score geven. De AFM heeft een koppeling gemaakt tussen die scores voor beheersmaatregelen en tien belangrijke thema’s uit Dora. ‘Die koppeling is een eigen interpretatie en omvat niet alle vereisten uit Dora’, waarschuwt AFM. ‘De scores laten zien dat de beheersmaatregelen vaak niet op voldoende niveau waren en dat er nog aanzienlijk werk verzet moet worden voordat Dora van toepassing wordt in januari 2025.’
Ict-risicobeheer
Voor ict-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. ‘Dit geldt voor 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen’, deelt AFM. Ook zijn bij verschillende ondernemingen verbeteringen nodig van de governance rondom ict-risicobeheer, de ict-asset-inventaris en het risicobeheer van derde aanbieders.
De meeste organisaties scoorden wel een voldoende voor de inrichting van backup- en herstelmogelijkheden. Volgens de AFM stelt Dora hiervoor aanvullende en gedetailleerde vereisten. Vanwege de omvang van Dora is de checklist niet volledig. ‘De volledige vereisten zijn opgenomen in de verordening en bijbehorende Regulatory Technical Standard (RTS) en Implementation Technical Standard (ITS). Meer informatie hierover staat op onze website‘, schrijft AFM. Ook zijn daar voor financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen factsheets te vinden.
