DORA (Digital Operational Resilience Act) is een Europese richtlijn die van kracht is geworden op 28 juni 2021. Deze moet worden omgezet in nationale wetgeving door alle EU-lidstaten. Het heeft als doel om uniforme eisen te stellen aan de operationele en veerkrachtige werking van financiële marktinfrastructuur, met name op het gebied van informatiebeveiliging.
Financiële ondernemingen zijn afhankelijk van informatietechnologie (IT) om hun dagelijkse werkzaamheden uit te voeren en om hun klanten te bedienen. De veiligheid en betrouwbaarheid van deze systemen zijn daarom van cruciaal belang om de continuïteit van de dienstverlening te waarborgen en om de financiële stabiliteit te handhaven.
Eisen aan Informatie Beveiliging
DORA stelt daarom uniforme eisen aan de beveiliging van IT-systemen van financiële ondernemingen, met name financiële marktinfrastructuur. Het omvat onder meer de volgende aspecten:
- Risicobeoordeling en risicomanagement: Financiële ondernemingen moeten periodiek hun IT-systemen beoordelen op kwetsbaarheden en risico’s. Ze moeten passende maatregelen nemen om deze te beheersen.
- Beveiligingsbeleid: Financiële ondernemingen moeten een duidelijk en gedocumenteerd beveiligingsbeleid hebben. Dat is afgestemd op de risico’s en behoeften van hun organisatie. Het beleid moet ook regelmatig worden geëvalueerd en bijgewerkt.
- Beveiligingsmaatregelen: Financiële ondernemingen moeten passende technische en organisatorische beveiligingsmaatregelen treffen. Om de integriteit, vertrouwelijkheid en beschikbaarheid van hun IT-systemen te waarborgen. Dit omvat onder meer toegangscontrole, netwerkbeveiliging, beveiliging van gegevensopslag en bescherming tegen kwaadwillende software.
- Incidentbeheer: Financiële ondernemingen moeten procedures hebben voor het detecteren, rapporteren en reageren op incidenten die de beveiliging van hun IT-systemen in gevaar brengen. Dit omvat het herstellen van systemen na een incident en het informeren van betrokken partijen.
- Business continuity management: Financiële ondernemingen moeten plannen hebben voor het voortzetten van hun activiteiten in geval van een verstoring van de IT-systemen. Deze plannen moeten regelmatig worden getest en bijgewerkt.
Als financiële ondernemingen niet voldoen aan de vereisten van DORA, kunnen zij worden onderworpen aan sancties, waaronder boetes en intrekking van vergunningen. Het is belangrijk dat financiële ondernemingen hun IT-systemen op een veilige en veerkrachtige manier beheren en zich houden aan de voorschriften van DORA.
Wanneer gaat de DORA Richtlijn gelden in Nederland?
DORA (Digital Operational Resilience Act) is een Europese richtlijn. Die van kracht is geworden op 28 juni 2021 en moet worden omgezet in nationale wetgeving door alle EU-lidstaten. Dit betekent dat de richtlijn van toepassing is op alle lidstaten van de Europese Unie, waaronder Nederland.
Nederland moet DORA dus omzetten in nationale wetgeving. En ervoor zorgen dat deze wordt toegepast op de financiële marktinfrastructuren die onder de reikwijdte van de richtlijn vallen.
De Nederlandse toezichthouder, De Nederlandsche Bank (DNB), is verantwoordelijk voor de handhaving van de richtlijn in Nederland. Zij heeft de bevoegdheid om sancties op te leggen aan financiële marktinfrastructuren die niet voldoen aan de vereisten van DORA.
De exacte datum waarop DORA van kracht zal zijn in Nederland zal afhangen van wanneer de Nederlandse wetgeving is aangepast en goedgekeurd. Naar verwachting zal dit echter niet later zijn dan 28 juni 2023, aangezien dit de uiterste datum.
Voor welke Bedrijven?
DORA is van toepassing op financiële marktinfrastructuren, zoals handelsplatforms, centrale tegenpartijen (CCP’s), centrale effectenbewaarinstellingen (CSD’s), betalings- en afwikkelingssystemen en andere vergelijkbare ondernemingen die essentieel zijn voor het functioneren van de financiële markten.
De richtlijn is dus niet van toepassing op alle financiële ondernemingen, maar alleen op die welke worden beschouwd als financiële marktinfrastructuren en die daarom als systeemrelevant worden beschouwd. Dit zijn ondernemingen die van cruciaal belang zijn voor het goed functioneren van de financiële markten en waarvan het falen ernstige gevolgen zou kunnen hebben voor de financiële stabiliteit en de economie als geheel.
De specifieke entiteiten die onder de reikwijdte van DORA vallen, worden bepaald door de nationale toezichthouders in overeenstemming met de definities en criteria in de richtlijn. De nationale toezichthouders zijn verantwoordelijk voor de handhaving van de richtlijn en hebben de bevoegdheid om sancties op te leggen aan ondernemingen die niet voldoen aan de vereisten van DORA.
Het is daarom belangrijk dat financiële marktinfrastructuren die onder de reikwijdte van DORA vallen, zich bewust zijn van de vereisten van de richtlijn. Ze moeten passende maatregelen nemen om te voldoen aan de voorschriften van de richtlijn om zo de veiligheid en veerkracht van hun IT-systemen te waarborgen en te voldoen aan de eisen van de toezichthouders.
Welke maatregelen staan er in de Wet?
Maatregelen voor het beheer van cyberbeveiligingsrisico’s (NSCS) omvatten ten minste het volgende:
- Een beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- Een proces voor incidentenbehandeling;
- Een bedrijfscontinuïteit plan; zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
- De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
- De beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- Een beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
- De basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging (zie hieronder de NCSC basismaatregelen);
- Een beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- Wanneer gepast gebruik van multifactor-authenticatie, beveiligde spraak-, video- en bovendien tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen het bedrijf.
Wat zijn de NCSC basismaatregelen?
- Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert
- Pas multifactor authenticatie toe waar nodig
- Bepaal wie toegang heeft tot uw data en diensten
- Segmenteer netwerken
- Versleutel opslagmedia met gevoelige bedrijfsinformatie
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
- Maak regelmatig back-ups van uw systemen en test deze
- Installeer software-updates
