De Autoriteit Financiële Markten (AFM) heeft haar tweede publicatie uitgegeven waarin de inhoudelijke aspecten van de Digital Operations Resilience Act (DORA) worden toegelicht. In deze editie (pdf) wordt ingegaan op het beheren van ICT-risico’s van derde aanbieders. Op deze manier kunnen ondernemingen analyseren waar ze staan op dit vlak en welke stappen ze nog moeten zetten om aan de verordening te voldoen.
Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen.
Stabiele keten
Om in de hele keten weerbaar te zijn tegen cyberdreigingen en ICT-verstoringen, is het belangrijk om aandacht te besteden aan de risico’s van het afnemen van ICT-diensten van derde aanbieders. Om te beginnen moeten ondernemingen expliciet aandacht besteden aan de IT-risico’s die voortkomen uit het gebruiken van diensten van derde aanbieders. Daarnaast verwacht DORA dat ondernemingen een strategie ontwikkelen voor het beheersen van deze zogenoemde third party risks, waarbij de risico’s van het uitbesteden van kritieke diensten regelmatig worden herzien. Ook wordt voorgeschreven welke elementen ondernemingen op moeten nemen in contractuele overeenkomsten met derde aanbieders. In deze publicatie wordt verder ingegaan op deze onderwerpen en hoe deze DORA-proof te krijgen.
Toezicht op de verordening
Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.
Bron: AFM