Home Organisatie Kennis- en werkgroepen Kennisgroep Betalingsverkeer

Kennisgroep Betalingsverkeer

De Kennisgroep Betalingsverkeer houdt zich bezig met totstandbrenging van relevante producten, publicaties en seminars op het gebied van betalingsverkeer. Zie ook de video 
Bijeenkomst DORA voor de IT-auditor: Kom maar op! 13 juni 2024
De Digital Operational Resilience Act (DORA) is een EU-verordening gericht op cyberweerbaarheid. Financiële instellingen hebben tot 17 januari 2025 de tijd om aan DORA te voldoen. Vanaf dan moeten de beheersmaatregelen geïmplementeerd zijn. Tijdens deze DORA presentatie worden de volgende onderwerpen vanuit een IT auditor perspectief besproken: 
  1. ICT-risicobeheer
  2. ICT-gerelateerde incidenten
  3. testen van digitale operationele veerkracht
  4. beheer van ICT-risico van derde aanbieders en 
  5. informatie-uitwisseling. 
De presentatie werd (op persoonlijke titel) gegeven door Gertjan Verhage (werkzaam bij ING) en Marcel van Beek (werkzaam bij DNB).
Roundtable Digital Operational Resilience Act (DORA) - 26 oktober 2023
Door de Kennisgroep Betalingsverkeer is op donderdag 26 oktober een Roundtable georganiseerd over de Digital Operations Resilience Act (DORA) en de impact daarvan voor IT-Auditors.
Victoria van der Mark en Sean Weggelaar (Autoriteit Financiële Markten) en Otto Hulst en Sjoerd Kuipers (Pensioenfederatie) gaven een impressie van de voorbereidingen die worden getroffen en de aandachtspunten die ze hebben onderkend.

Per januari 2023 is de Digital Operational Resilience Act (DORA) geaccordeerd en richt zich op het uniformeren en standaardiseren van wet- en regelgeving over de beheersing van ICT-risico’s voor de financiële sector. Op 17 januari 2025 dient elk pensioenfonds te voldoen aan DORA-wetgeving (directe werking).
Met DORA heeft de Europese Commissie drie hoofddoelen voor ogen:
  1. Versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren;
  2. Een basiskader scheppen voor financiële organisaties waarvoor nog geen regelgeving is;
  3. Het beter mitigeren van risico’s van uitbesteding door de financiële sector aan kritieke digitale derde dienstverleners.
Tijdens de Roundtable kwam er een discussie op gang naar aanleiding van artikel 10.2: ‘service providers handle any vulnerabilities related to ICT and report them tot he financial entity.’ Men vreest dat hier een overkill aan meldingen uit voortkomt waarmee de financiële instellingen niets aankunnen. Ook bij de verplichte source code reviews en repsonse & recovery plans fronste men de wenkbrauwen. Moet dit rule-based of principle-based worden geïnterpreteerd? En waar is dan de proportionaliteit? Kortom, men vreest enorme regeldruk.
De belangrijkste conclusie die naar voren kwam: begin vooral met een GAP-analyse: wat doe je al en wat zijn de aanvullende eisen op grond van DORA?


Aanmelden
Nieuwe PSD2 Handreiking en consultatie SOC-Maturity Framework - juli 2022
De Kennisgroep Betalingsverkeer heeft in juli 2022 een Guidance Payment Service Directive 2 (PSD2) met bijbehorende 'Presentation Guidance' en Practical Guidance Worksheet MVP2 (Excel) gepresenteerd. In deze nieuwe handreiking wordt een controlematrix gepresenteerd waarin de stappen worden beschreven die moeten worden genomen om een PSD2-audit uit te voeren. Als gevolg van de PSD2-wetgeving is er eerder een PSD2-handleiding uitgebracht. Deze was gericht op de richtlijn (Regulatory Technical Standard) voor sterke klantauthenticatie. In deze tweede MVP is informatie over beveiligingsmaatregelen voor operationele en beveiligingsrisico's toegevoegd.
Deelnemers Kennisgroep
Caroline Zonneveld RE   
Eddy van der Geest RE RA   
Edward van Dooren   
drs. Frank Waatjes RE CISA CIA CFSA CAMS CRISC   
ing. Jacco Jacobs RE CRISC (linking-pin vanuit het bestuur)   
drs. Léon Dirks RE   
Mike Leeman Msc RA (voorzitter)   
Contact