DORA maakt een einde aan versnippering wetten rond IT Compliance

Op 23 juni 2022 is de compromistekst van de ‘Digital Operational Resilience Act’ (DORA) gepubliceerd. Dat betekent dat de Europese wet, die voor meer digitale weerbaarheid moet zorgen bij financiële ondernemingen in Europese lidstaten, duidelijke vormen aan begint te nemen. Niels Huijpen, consultant bij Charco & Dique, vertelt over de impact van DORA op financiële ondernemingen.

DORA moet digitale innovatie in de financiële sector bevorderen en tegelijkertijd de daaruit voorvloeiende risico’s beperken. ‘’Het is het eerste wettelijk kader op het gebied van ICT-weerbaarheid voor veel soorten organisaties én voor de toezichthouder,’’ vertelt Huijpen. ‘’Er wordt voor het eerst concreet invulling gegeven aan de norm ‘beheerste bedrijfsvoering’ voor dit onderwerp.’’

DORA borduurt voort op al bestaande wettelijke vereisten op het gebied van ICT risk management. In DORA komen alle wettelijke vereisten op dit gebied samen, met als doel meer harmonisatie binnen de EU. DORA is verdeeld is een vier inhoudelijke hoofdstukken. Ieder hoofdstuk bevat diverse vereisten waar financiële ondernemingen aan moeten voldoen. De hoofdstukken gaan respectievelijk in op ICT risicobeheer, ICT- gerelateerde incidenten, het testen van digitale operationele veerkracht en het beheer van de ICT-risico’s van derde aanbieders.

In art. 2 lid 1 is een lijst opgenomen met de financiële ondernemingen op wie de wet van toepassing is. Lid 3 van hetzelfde artikel geeft een opsomming van uitgesloten ondernemingen. Huijpen: ‘’DORA is niet van toepassing op AIFMD-light beheerders, krediet aanbieders, financiële dienstverleners die adviseren of bemiddelen over krediet en wettelijke auditors en auditkantoren. Deze laatste categorie was bij de vorige versie van DORA nog wel in scope.’’

Rekening houden met omvang, aard en complexiteit

Eind juni is de zogenaamde ‘compromistekst’ van DORA gepubliceerd. Met de compromistekst zijn er een aantal wijzigingen doorgevoerd. Een van de belangrijkste wijzigingen is volgens Huijpen de toevoeging van het proportionaliteitsbeginsel. ‘’Bij het implementeren van de vereisten uit hoofdstuk 2 over ICT Risicobeheer mag rekening gehouden worden met de omvang, aard en complexiteit van de organisatie en haar dienstverlening in relatie tot haar totale risicoprofiel. Bij hoofdstuk 3 over ICT-incidenten beheer, hoofdstuk 4 over het testen van digitale operationele veerkracht en afdeling 1 van hoofdstuk 5 (ICT risico’s derde aanbieders) mag dit ook, maar dan alleen zoals specifiek voorzien is bij die hoofdstukken. Het is aan de toezichthouders om te overwegen of de ondernemingen het proportionaliteitsbeginsel juist hebben toegepast, door het beoordelen van het ICT risicoframework.’’

Overige wijzigingen

Nieuw toegevoegd is de verplichting voor ondernemingen om een Business Impact Assessment uit te voeren als onderdeel van de Business Continuity Policy. Een andere wijziging is dat ICT-incidenten én cyber bedreigingen nu geclassificeerd en gemeld moeten worden bij de toezichthouder. Voor ICT-gerelateerde incidenten was dit al het geval.

Voorbereidingstijd

Wanneer financiële ondernemingen aan de slag moeten met de implementatie van DORA is nog niet met zekerheid te zeggen. Op 11 mei 2022 hebben het Europees Parlement en de Raad een voorlopig akkoord bereikt over de wet. Het voorlopige akkoord moet de formele goedkeuringsprocedure nog doorlopen.

De verwachting is dat DORA eind 2022 in werking zal treden. Na de inwerkingtreding hebben financiële ondernemingen nog 24 maanden om aan de vereisten te voldoen. Geen overbodige luxe, gezien de grote impact.