Veelgestelde vragen DORA Europese Wetgeving

De Digital Operational Resilience Act (DORA) is sinds januari 2023 actief. Deze Europese wet zorgt ervoor dat financiële bedrijven hun IT-beveiliging verbeteren om zo sterker te staan tegen cyberaanvallen. DORA vult de NIS2 en GDPR aan.

Financiële instellingen zijn steeds meer afhankelijk van IT. Dit brengt risico's met zich mee, zoals cyberaanvallen, die de stabiliteit en openheid van de kapitaalmarkten kunnen schaden. DORA richt zich op het versterken van de weerbaarheid van onder andere crowdfundingdiensten, verzekeringsmakelaars, beleggingsfirma's en handelsplatforms. De regels gaan over risicobeheer, IT-incidentmanagement, testen, toezicht houden op belangrijke IT-leveranciers, en organisatiebeheer. Ook wordt de veiligheid in de hele keten verbeterd en worden fouten bij het delen van informatie verminderd.

Bedrijven hebben tot december 2024 om aan de eisen te voldoen. Vanaf januari 2025 moeten alle organisaties de regels toegepast hebben. De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) zullen waarschijnlijk samen toezicht houden op de naleving van DORA.

Voor de laatste updates en meer informatie, bezoek de AFM website.

Wat betekent de introductie van het DORA-informatieregister?

Vanaf 2025 moeten financiële instellingen een DORA-informatieregister bijhouden. Dit register bevat details over ICT-dienstverleners die ze gebruiken. De regels hiervoor staan in de Implementing Technical Standards, gepubliceerd op 10 januari 2024. Deze eisen zijn strenger dan vroegere regels en vragen om meer informatie.

Welke informatie moet in het nieuwe DORA-informatieregister voor ICT-dienstverleners van derden staan?

Het register moet bijna honderd kenmerken bevatten, verdeeld over 15 subtabellen. Het gaat om complexe gegevens, ook van IT-bronnen die eerder niet werden geregistreerd. Deze info moet altijd up-to-date zijn en tot vijf jaar na het einde van een dienst bewaard blijven.
Wat is de operationele impact van het DORA ICT-register?
Het bijhouden van het ICT-register vraagt goede samenwerking tussen verschillende teams binnen een bedrijf. Vroeger gebruikte men vaak Excel, maar dat werkt nu niet meer door de hoeveelheid data en de vele mensen die ermee werken.

Wat maakt het DORA ICT-register zo uitdagend?

Het register heeft veel onderdelen en vereist nauwkeurige data. Er zijn veel kruisverwijzingen en specifieke regels voor data-invoer. Ook moet de tweede verdedigingslijn kunnen controleren en aanpassen wat de eerste lijn doet. De grote hoeveelheid ICT-diensten en de verschillende belanghebbenden maken het ingewikkeld.

Waarom is een eenvoudige Excel-tabel niet voldoende voor het DORA ICT-register?

Excel kan niet goed omgaan met de complexiteit en de grootte van de data voor het DORA-register. Het mist functies voor samenwerking en toegangscontrole die nodig zijn voor actuele en correcte rapportages.

Welke voordelen biedt de Microsoft Power Platform-oplossing voor DORA ICT-registercontrole in vergelijking met Excel?

Microsoft Power Platform heeft geavanceerde tools die beter zijn dan Excel voor complexe taken zoals het DORA-register. Het helpt bij het maken van apps, beheren van data, en zorgt dat alles voldoet aan de regels.
Is er potentieel voor toekomstige uitbreidingen van de Microsoft Power Platform-oplossing?
Ja, het Power Platform kan aangepast worden voor specifieke behoeften en er kunnen nieuwe oplossingen op gebouwd worden. Het is een flexibel platform dat meegroeit met de behoeften.
Hoe ondersteunt HSO bij de opbouw van het DORA-informatieregister?
HSO's experts hebben al een Power Platform-oplossing voor het DORA-register ontwikkeld. Dit is de basis voor een oplossing die past bij de klant. Met hun kennis en technologie helpen ze snel en effectief een persoonlijke oplossing te bouwen.