Financiële ondernemingen moeten vanaf 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA). DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) heeft op basis van eerdere uitvragen rondom IT-beheersmaatregelen gekeken naar hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke DORA thema’s. Organisaties kunnen deze bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren.

Beheersmaatregelen vaak nog niet op voldoende niveau

De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel hiervan zijn de onderzoeken waarin ondernemingen zelf de volwassenheid van IT-beheersmaatregelen scoren. De AFM heeft een koppeling gemaakt tussen de scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA. Deze koppeling is onze eigen interpretatie en omvat niet alle vereisten uit DORA. De scores laten zien dat de beheersmaatregelen vaak niet op voldoende niveau waren en dat er nog aanzienlijk werk verzet moet worden voordat DORA van toepassing wordt in januari 2025.

Verbetering ICT-risicobeheer nodig

DORA heeft als doel dat financiële ondernemingen ICT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen en ICT-verstoringen. Goed ICT-risicobeheer stelt ondernemingen in staat om risico’s tijdig en effectief te detecteren en te beheersen.

Voor ICT-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit geldt voor 81% van de financiële dienstverleners, 58% van de kapitaalmarktpartijen en 42% van de beleggingsondernemingen.

Ook zijn bij verschillende ondernemingen verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders.

De meeste organisaties scoorden voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.

DORA-checklist

Het is belangrijk dat ondernemingen tijdig helder krijgen waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen.

De DORA-checklist kunnen ondernemingen als startpunt gebruiken om op een aantal punten helder te krijgen wat er qua beleid en procedures nog nodig is om te voldoen aan de vereisten uit DORA. Vanwege de omvang van DORA is de checklist niet volledig. De volledige vereisten zijn opgenomen in de verordening en bijbehorende RTS en ITS.

Bron: AFM