Vandaag treedt de Digital Operational Resilience Act (Dora) officieel in werking binnen de Europese Unie. De verordening is ontworpen om de digitale weerbaarheid van financiële instellingen te versterken en hen beter te beschermen tegen cyberdreigingen en ict-risico’s. Managers die de regels niet nakomen, zijn persoonlijk aansprakelijk. Boetes kunnen oplopen tot een miljoen euro.
Dora stelt strengere eisen aan financiële ondernemingen op het gebied van ict-beveiliging. Een verplichting zijn periodieke systeemtests op kwetsbaarheden, bijvoorbeeld door de inzet van ethische hackers. Ook is er een meldplicht bij incidenten zoals datalekken of cyberaanvallen. Ook moeten financiële instellingen hun ict-landschap en leveranciers in kaart brengen en de weerbaarheid van die partijen evalueren. Daarnaast zijn financiële instellingen verplicht om informatie over incidenten onderling te delen.
In Nederland zien de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank toe op de naleving van Dora. Deze toezichthouders hebben de bevoegdheid om sancties op te leggen aan financiële instellingen die niet aan de verordening voldoen. Daarnaast vallen grote, essentiële ict-toeleveranciers, zoals clouddienstverleners, direct onder toezicht van Europese toezichthoudende autoriteiten.
Halverwege 2024 waarschuwde de AFM dat veel financiële instellingen nog achterliepen op de naderende ingangsdatum van Dora. Voor ict-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit gold voor 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen. Ook waren bij verschillende ondernemingen verbeteringen nodig van de governance rondom ict-risicobeheer, de ict-asset-inventaris en het risicobeheer van derde aanbieders. De meeste organisaties scoorden wel een voldoende voor de inrichting van backup- en herstelmogelijkheden. Het is niet duidelijk hoe die aantallen nu zijn. Er is een checklist van de AFM waar partijen kunnen controleren of ze hun zaken op orde hebben.
Reacties Veeam en Dynatrace
Volgens Andre Troskie, EMEA-field ciso bij backupspecialist Veeam, heeft de financiële sector veel ervaring met strenge regelgeving en is er vaak intern al een goede basis gelegd voor dataweerbaarheid en cyberbeveiliging. Hij wijst wel op uitdagingen die ontstaan bij externe dienstverleners en de bredere toeleveringsketen. ‘Als organisaties de naleving door hun partners niet kunnen waarborgen, kan dit leiden tot nalevingsproblemen, boetes of andere gevolgen. Het is cruciaal dat externe partijen ook robuuste risicomanagementprocessen hanteren.’
Bob Wambach, topman bij ict-beveiliger Dynatrace, waarschuwt voor een tweedeling tussen veerkrachtige en risicovolle aanbieders, ook buiten de EU. Dora vraagt volgens hem om meer dan het afvinken van een checklist. ‘Het vereist een cultuur van veerkracht, continue testen en ai-gestuurde detectie van risico’s.’ Volgens hem is realtime-respons cruciaal om escalatie van incidenten te voorkomen.
