Vanaf 17 januari 2025 moeten financiële ondernemingen voldoen aan de Digital Operational Resilience Act (DORA). Deze Europese verordening is bedoeld om IT-risico’s binnen financiële organisaties beter te beheersen en hen weerbaarder te maken tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) heeft, op basis van eerdere onderzoeken naar IT-beheersmaatregelen, een checklist ontwikkeld. Deze is gebaseerd op hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf hebben gescoord en vertaalt dit naar tien belangrijke DORA-thema’s. Hiermee kunnen organisaties hun voorbereiding op de verordening evalueren.
De AFM monitort voortdurend de kwaliteit van informatiebeveiliging binnen de financiële sector. Uit onderzoek bleek dat deze maatregelen vaak niet op het gewenste niveau waren. De toezichthouder merkt op dat er nog veel werk nodig is om aan de nieuwe eisen te voldoen. “Deze koppeling is onze eigen interpretatie en omvat niet alle vereisten uit DORA,” aldus de AFM. Er zouden nog aanzienlijke inspanningen nodig zijn om de vereiste normen tegen januari 2025 te halen.
DORA moet ervoor zorgen dat financiële ondernemingen hun ICT-risico’s beter beheersen en zo weerbaarder worden tegen cyberdreigingen. Uit de AFM-beoordelingen bleek dat een groot deel van de ondernemingen niet volledig voldeed aan het verwachte niveau van ICT-risicobeheer: 81% van de financiële dienstverleners, 58% van de kapitaalmarktpartijen en 42% van de beleggingsondernemingen scoorden onvoldoende. Daarnaast is verbetering nodig in de governance rond ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van third parties. Hoewel de meeste organisaties voldoende scoorden op het gebied van back-up en herstelmogelijkheden, stelt DORA aanvullende eisen.
De DORA-checklist helpt organisaties inzicht te krijgen in hun huidige niveau van digitale weerbaarheid en welke stappen nog genomen moeten worden om aan de DORA-eisen te voldoen. Hoewel de checklist een goed startpunt biedt, is deze niet volledig; de complete vereisten zijn vastgelegd in de verordening en de bijbehorende RTS en ITS. Het is cruciaal dat ondernemingen tijdig duidelijkheid krijgen over hun positie en de nodige maatregelen treffen om aan de nieuwe regels te voldoen.
Lees meer: https://www.infinance.nl/artikel/afm-publiceert-dora-checklist-voor-ondernemingen/
