Vandaag treedt de Digital Operational Resilience Act (Dora) officieel in werking binnen de Europese Unie. De verordening is ontworpen om de digitale weerbaarheid van financiële instellingen te versterken en hen beter te beschermen tegen cyberdreigingen en ict-risico’s. Bestuurders die de regels niet nakomen, zijn persoonlijk aansprakelijk. Boetes kunnen oplopen tot een miljoen euro.
Dora stelt strengere eisen aan financiële ondernemingen op het gebied van ict-beveiliging. Een verplichting zijn periodieke systeemtests op kwetsbaarheden, bijvoorbeeld door de inzet van ethische hackers. Ook is er een meldplicht bij incidenten zoals datalekken of cyberaanvallen. Ook moeten financiële instellingen hun ict-landschap en leveranciers in kaart brengen en de weerbaarheid van die partijen evalueren. Daarnaast zijn financiële instellingen verplicht om informatie over incidenten onderling te delen.
In Nederland zien de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank toe op de naleving van Dora. Deze toezichthouders hebben de bevoegdheid om sancties op te leggen aan financiële instellingen die niet aan de verordening voldoen. Daarnaast vallen grote, essentiële ict-toeleveranciers, zoals clouddienstverleners, direct onder toezicht van Europese toezichthoudende autoriteiten.
Halverwege 2024 waarschuwde de AFM dat veel financiële instellingen nog achterliepen op de naderende ingangsdatum van Dora. Voor ict-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit gold voor 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen. Ook waren bij verschillende ondernemingen verbeteringen nodig van de governance rondom ict-risicobeheer, de ict-asset-inventaris en het risicobeheer van derde aanbieders. De meeste organisaties scoorden wel een voldoende voor de inrichting van backup- en herstelmogelijkheden. Het is niet duidelijk hoe die aantallen nu zijn. Er is een checklist van de AFM waar partijen kunnen controleren of ze hun zaken op orde hebben.
Reacties Veeam en Dynatrace
Volgens Andre Troskie, EMEA-field ciso bij backupspecialist Veeam, heeft de financiële sector veel ervaring met strenge regelgeving en is er vaak intern al een goede basis gelegd voor dataweerbaarheid en cyberbeveiliging. Hij wijst wel op uitdagingen die ontstaan bij externe dienstverleners en de bredere toeleveringsketen. ‘Als organisaties de naleving door hun partners niet kunnen waarborgen, kan dit leiden tot nalevingsproblemen, boetes of andere gevolgen. Het is cruciaal dat externe partijen ook robuuste risicomanagementprocessen hanteren.’
Bob Wambach, topman bij ict-beveiliger Dynatrace, waarschuwt voor een tweedeling tussen veerkrachtige en risicovolle aanbieders, ook buiten de EU. Dora vraagt volgens hem om meer dan het afvinken van een checklist. ‘Het vereist een cultuur van veerkracht, continue testen en ai-gestuurde detectie van risico’s.’ Volgens hem is realtime-respons cruciaal om escalatie van incidenten te voorkomen.
Aangepast 18-1-2025:
Aanvankelijk stond boven dit artikel de kopregel: Dora officieel van kracht, ict-manager hoofdelijk aansprakelijk. Lezer Marco van der Does meldt dat dit feitelijk onjuist is. Dora geeft geen verandering voor de aansprakelijkheid van een ict-manager. Alleen feitelijk bestuur en dan meestal het hoofdbestuur, RvC, RvB enzovoort kunnen aansprakelijk gesteld worden.
Het is de vraag of de wetgeving het papier waard is want kosten van compliance drukken nu eenmaal op de winsten. En deze bepalen uiteindelijk de bonussen van bestuurders waardoor we de afgelopen 20 jaar een reeks schandalen hadden die de schatkist – en daarmee belastingbetalers – miljarden aan rente en rendementen hebben gekost. Want ‘untouchables’ ontlopen hun straf via schikkingen in een sector die gereguleerd is maar niet echt gecontroleerd. Het aansprakelijk stellen zonder overtuigend bewijs levert namelijk geen veroordeling op als we kijken naar het risicobeheer binnen een financiële sector waar de schikkingen afgetrokken worden van de winstbelasting. En hierdoor hoeft er ook niet gekort te worden op de bonussen door het ontbreken van clawback clausules.
Juridische mazen in de wet maken de titel dus nog altijd geen feit zoals dat een AVG compliance ook geen garanties biedt op een onbespied leven in een maatschappij die steeds meer om de smoking gun van e-discovery in het zoeken naar het belastende bewijs gaat. Want foto’s van aantekeningen over functie elders gaan om de klokkenluiderssystemen doordat het ‘ons kent ons’ om een belangenverstrengeling in de waarheid gaat. En van Polaroid naar ransomware is het betaalmiddel alleen maar een pressiemiddel voor het nakomen van aangegane verplichtingen want aandeelhouders kiezen liever voor de winst dan de integriteit waardoor we weer een loze wet hebben als belofte.
Geplaatst 19 januari 2025 om 15:13