Door de Kennisgroep Betalingsverkeer is op donderdag 26 oktober een Roundtable georganiseerd over de Digital Operations Resilience Act (DORA) en de impact daarvan voor IT-Auditors.
Victoria van der Mark en Sean Weggelaar (Autoriteit Financiële Markten) en Otto Hulst en Sjoerd Kuipers (Pensioenfederatie) gaven een impressie van de voorbereidingen die worden getroffen en de aandachtspunten die ze hebben onderkend.
Per januari 2023 is de Digital Operational Resilience Act (DORA) geaccordeerd en richt zich op het uniformeren en standaardiseren van wet- en regelgeving over de beheersing van ICT-risico’s voor de financiële sector. Op 17 januari 2025 dient elk pensioenfonds te voldoen aan DORA-wetgeving (directe werking).
Met DORA heeft de Europese Commissie drie hoofddoelen voor ogen:
- Versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren;
- Een basiskader scheppen voor financiële organisaties waarvoor nog geen regelgeving is;
- Het beter mitigeren van risico’s van uitbesteding door de financiële sector aan kritieke digitale derde dienstverleners.
Tijdens de Roundtable kwam er een discussie op gang naar aanleiding van artikel 10.2: ‘service providers handle any vulnerabilities related to ICT and report them tot he financial entity.’ Men vreest dat hier een overkill aan meldingen uit voortkomt waarmee de financiële instellingen niets aankunnen. Ook bij de verplichte source code reviews en repsonse & recovery plans fronste men de wenkbrauwen. Moet dit rule-based of principle-based worden geïnterpreteerd? En waar is dan de proportionaliteit? Kortom, men vreest enorme regeldruk.
De belangrijkste conclusie die naar voren kwam: begin vooral met een GAP-analyse: wat doe je al en wat zijn de aanvullende eisen op grond van DORA?