Go to content

Digital Operational Resilience Act (DORA)

Sinds januari 2023 is de Digital Operational Resilience Act (DORA) van kracht. DORA is een Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Er is namelijk sprake van een scheefgroei tussen de toenemende IT-dreiging en de ontwikkeling van de weerbaarheid. DORA is een aanvulling op bestaande wetgeving op dit punt, te weten: NIS2 en GDPR.

De financiële sector wordt steeds afhankelijker van technologie/techbedrijven (IT-technologie) voor zijn dienstverlening. Dit maakt de financiële sector kwetsbaar voor onderliggende problemen met technologie, zoals een cyberaanval. Dit kan uiteindelijk ten koste gaan van de robuustheid en transparantie van de kapitaalmarkten.

DORA heeft als doel technologische risico’s te ondervangen voor aanbieders van crowdfundingdiensten, verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen, beleggingsondernemingen, beleggingsinstellingen en handelsplatformen. Doel is om de robuustheid te garanderen. De verordening richt zich op het aanscherpen van risk management, IT-incidentbeheersing, testen, toezicht op kritieke IT-dienstverleners, en het onderdeel governance en organisatie. Daarnaast verbetert DORA de ketenveiligheid en worden de risico’s van fouten bij informatie-uitwisseling beperkt.

Ondernemingen hebben tot december 2024 de tijd om aan de regelgeving te voldoen. Vanaf januari 2025 moeten de regels geïmplementeerd zijn in iedere organisatie.

AFM en DNB houden naar verwachting gezamenlijk toezicht op de naleving van de verordening.

Dora-updates

Met deze updates ondersteunt de AFM ondernemingen in hun voorbereiding op DORA.