DORA: cyberweerbaarheid in de financiële sector

Sinds 17 januari 2025 is de Digital Operational Resilience Act (DORA) officieel van toepassing. Deze Europese wetgeving moet de digitale weerbaarheid van financiële instellingen versterken en een uniform regelgevingskader creëren. “Vroeger was de regelgeving erg versnipperd”, legt Ryshad Niamat, DORA-toezichthouder bij de Autoriteit Financiële Markten (AFM) uit. “Sommige financiële instellingen vielen al onder strenge IT-regels, terwijl andere nauwelijks verplichtingen hadden. Met DORA is er nu een level playing field.”

Door uniforme regels in te voeren beschermt DORA zowel de digitale stabiliteit en weerbaarheid van individuele instellingen als het bredere financiële systeem. De wet is onder andere van toepassing op banken, beleggingsondernemingen en betaalinstellingen, en stelt ook aanvullende eisen aan de overeenkomsten met ICT-dienstverleners. Financiële instellingen zijn onder DORA verplicht om te voldoen aan vijf pijlers:

  1. ICT-risicobeheer – Instellingen moeten hun ICT-risico’s in kaart brengen en beheersen.
  2. Beheer van ICT-incidenten – ICT-incidenten moeten gerapporteerd en geanalyseerd worden.
  3. Derde aanbieders van ICT-diensten – ICT-diensten die worden uitbesteed moeten voldoen aan strikte eisen.
  4. Weerbaarheidstesten – Regelmatige stresstests en audits zijn verplicht.
  5. Informatiedeling – Financiële instellingen kunnen relevante informatie over cyberdreigingen met elkaar delen.

De implementatie van DORA
Alle financiële instellingen moeten voldoen aan de vereisten die DORA stelt en zullen stappen moeten zetten om op het gewenste niveau te komen, vertelt Niamat. “Bepaalde financiële instellingen, zoals banken en vermogensbeheerders, waren al gewend aan ICT-toezicht. Andere organisaties, zoals verzekeringstussenpersonen, die in het verleden minder met ICT-toezicht te maken hadden, moesten in het afgelopen jaar zorgen dat zij over ICT-systemen en -processen beschikken die aan de eisen van DORA voldoen. De meeste instellingen zijn inmiddels goed op weg, maar nog niet iedereen voldoet volledig. Het is een complex proces”, legt Niamat uit.

DORA en Stichting BKR: een bijzondere positie
Een interessante casus binnen DORA is Stichting BKR (BKR). Hoewel BKR zelf geen financiële entiteit is en niet onder artikel 2, lid 2 van de wetgeving valt, levert BKR wel ICT-diensten aan financiële instellingen. “Dat maakt BKR een derde aanbieder van ICT-diensten onder DORA. DORA is daardoor niet direct van toepassing op BKR, maar wel op de financiële instellingen die gebruikmaken van BKR-diensten”, vertelt Niamat. “Door als financiële instelling gebruik te maken van een derde aanbieder van ICT-diensten, verplaats je de uitvoering van de eigen onderneming naar de derde partij. Je loopt echter nog steeds het risico dat er een verstoring plaatsvindt bij de derde aanbieder, wat impact kan hebben op je eigen bedrijfsprocessen. Financiële instellingen moeten deze dienstverlening daarom meenemen in hun risk assessment en aantonen dat ze aan de eisen van DORA voldoen.”

DORA verplicht financiële instellingen een exit-strategie op te stellen voor derde aanbieders, zodat zij bij problemen kunnen overstappen naar een andere leverancier. Maar hoe zit dat bij partijen zoals BKR? Dat is een bijzondere situatie stelt Niamat: “Als er geen alternatief is, kun je geen exit-strategie opstellen. Wat je dan wel moet doen, is aantonen dat je het risico identificeert, beoordeelt en accepteert. Financiële instellingen moeten alles documenteren en aantonen dat zij een bewuste risicoafweging hebben gemaakt. Zij moeten duidelijk maken hoe zij omgaan met een situatie waarin de diensten van BKR tijdelijk niet beschikbaar zijn.”

Handhaving door de AFM
Samen met De Nederlandsche Bank (DNB) ziet de AFM toe op de naleving van DORA. “Wij houden risico-gebaseerd toezicht. Dat houdt in dat wij onze toezichtcapaciteit inzetten waar wij de grootste risico’s verwachten. Voor het DORA-toezicht zullen wij onderzoeken uitvoeren bij financiële instellingen. Dit kan een onderzoek zijn naar ICT-risicobeheer, maar ook het beheer van ICT-risico’s met betrekking tot derde aanbieders van ICT-diensten. Afhankelijk van het onderwerp zullen wij bepaalde stukken opvragen. Mochten wij tijdens deze onderzoeken een overtreding constateren, zullen wij niet gelijk formeel handhaven door waarschuwingen of boetes uit te delen. Het uitgangspunt is om met de ondernemingen in gesprek te gaan en het belang van de normen te benadrukken.”

BKR en DORA

BKR kwalificeert onder DORA niet als financiële entiteit, maar als derde aanbieder van ICT-diensten. In deze rol heeft BKR in het kader van DORA het voortouw genomen om de voorwaarden van een overeenkomst voor haar diensten te ontwikkelen, voor zover deze zien op de relatie van de financiële entiteit met BKR als derde aanbieder van ICT-diensten. Deze is aan deelnemers en afnemers van andere diensten van BKR aangeboden, om hen te helpen te voldoen aan de vereisten van de DORA-wetgeving. Deze uniforme aanpak voor alle deelnemers en andere afnemers creëert zodoende het vereiste ‘level playing field’ en biedt beheersbaarheid, consistentie en efficiency. BKR hecht veel waarde aan informatiebeveiliging en privacy. Daarom is het van groot belang dat de relatie van BKR met deelnemers en andere afnemers voldoet aan de DORA-wetgeving. Een volgende stap die BKR op korte termijn gaat zetten is dit zichtbaar uitdragen op de (corporate) website. Zo zal aandacht worden besteed aan de wijze waarop BKR vorm geeft aan het inrichten van haar informatiebeveiliging, de ISO27001-certificering die daarvan een belangrijk onderdeel vormt, en zal andere relevante informatie voor deelnemers en andere afnemers worden gecommuniceerd. Daarnaast wordt op het zakelijk portaal de benodigde documentatie worden geplaatst die deelnemers en afnemers kunnen raadplegen en gebruiken om hen te helpen aantoonbaar te voldoen aan hun DORA-verplichtingen.