De AFM heeft een publicatie uitgebracht waarin ze de inhoudelijke aspecten van de Digital Operations Resilience Act (DORA) uitlegt en de aandacht vestigt op de voorbereiding hierop. Vanaf januari 2023 is DORA van kracht, een Europese verordening die tot doel heeft financiële organisaties beter in staat te stellen IT-risico’s te beheersen en zich daarmee veerkrachtiger te maken tegen cyberdreigingen. Dit is van belang gezien de groeiende dreiging op het gebied van IT en de behoefte aan verbeterde weerbaarheid, zoals benadrukt in een recent rapport van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

DORA harmoniseert IT-vereisten in de financiële sector en stelt eisen aan IT-risicomanagement, behandeling van IT-incidenten, periodieke tests van digitale weerbaarheid en de beheersing van risico’s bij uitbesteding aan derden. De verordening houdt rekening met de grootte, het risicoprofiel en het systeembelang van individuele organisaties. Micro-ondernemingen zijn bijvoorbeeld uitgesloten van bepaalde verordeningselementen, en voor bepaalde vergunningstypes wordt een vereenvoudigd kader ontwikkeld in het tweede hoofdstuk van DORA (‘ICT-risicobeheer’).

Daarnaast beoogt DORA de ketenveiligheid te verbeteren door een kader toe te voegen dat van toepassing is op de meest kritieke ICT-dienstverleners voor de financiële sector. Ook regelt de verordening informatie-uitwisseling tussen financiële instellingen, waardoor ze onderling informatie en inlichtingen over cyberdreigingen kunnen delen om risico’s verder te beperken. Bedrijven hebben tot januari 2025 de tijd om aan de regelgeving te voldoen, waarna de AFM toezicht zal houden op de naleving van DORA. Het is belangrijk op te merken dat sommige bedrijven nu al te maken hebben met DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.

DORA en vergelijkbare wetgevingen hebben vaak tot doel de cybersecuritynormen te verbeteren en organisaties te dwingen maatregelen te implementeren die de veerkracht van hun digitale operaties vergroten. Dit kan variëren van beveiligingsprotocollen tot noodherstelplannen

Organisaties moeten mogelijk investeren in technologie, training en processen om te voldoen aan de vereisten van DORA. Dit kan leiden tot financiële kosten, vooral voor kleinere bedrijven

Wetgeving zoals DORA kan ook implicaties hebben voor de manier waarop organisaties gegevens behandelen, opslaan en beschermen. Het kan vereisten stellen met betrekking tot het melden van datalekken en het waarborgen van de privacy van gebruikers

De invoering van DORA kan leiden tot intensiever toezicht en handhaving door overheidsinstanties. Organisaties kunnen boetes of andere straffen riskeren als ze niet aan de wettelijke vereisten voldoen

Als DORA deel uitmaakt van bredere internationale inspanningen op het gebied van digitale veiligheid, kan het ook gevolgen hebben voor de manier waarop bedrijven internationaal handel drijven.

Bedrijven hebben tot januari 2025 om aan de regelgeving te voldoen. Na deze datum treedt de Digital Operations Resilience Act (DORA) officieel in werking, waarbij zowel de AFM als DNB belast worden met toezicht op de naleving van deze verordening. Het is tevens van belang op te merken dat bepaalde ondernemingen momenteel al te maken hebben met DORA-gerelateerde eisen die voortvloeien uit bestaande wet- en regelgeving.