ISMS Copilot
Ondersteunde frameworks

Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) is een EU-verordening die uitgebreide vereisten voor ICT-risicobeheer vaststelt voor de financiële sector. DORA treedt in werking op 17 januari 2025 en harmoniseert normen voor digitale veerkracht in alle EU-lidstaten, zodat financiële entiteiten bestand zijn tegen ICT-gerelateerde verstoringen en hiervan kunnen herstellen.

ISMS Copilot beschikt over specifieke kennis van de DORA-vereisten. Je kunt vragen stellen over specifieke kaders, beleid genereren dat is afgestemd op de DORA-pijlers en compliance-hiaten beoordelen met behulp van de AI-assistent.

Wie moet voldoen aan DORA?

DORA is van toepassing op meer dan 20.000 financiële entiteiten in de hele EU, waaronder:

  • Banken en kredietinstellingen

  • Verzekerings- en herverzekeringsondernemingen

  • Beleggingsondernemingen en handelsplatformen

  • Betalingsinstellingen en instellingen voor elektronisch geld

  • Aanbieders van cryptoactivadiensten

  • Cruciale externe ICT-dienstverleners (cloudproviders, datacenters, softwareleveranciers die financiële entiteiten bedienen)

Zowel grote instellingen als kleinere financiële entiteiten moeten hieraan voldoen, hoewel er proportionaliteitsoverwegingen gelden op basis van omvang, aard van de activiteiten en risicoprofiel.

De vijf pijlers van DORA

DORA structureert vereisten in vijf belangrijke pijlers:

  1. ICT-risicobeheer: Uitgebreide kaders voor het identificeren, beheren en beperken van ICT-risico's, inclusief governance, risicobeoordeling en bedrijfscontinuïteit

  2. Rapportage van incidenten: Verplichte rapportage van grote ICT-gerelateerde incidenten aan toezichthouders binnen strikte termijnen (initiële melding, tussenrapportages, eindanalyse)

  3. Testen van digitale operationele veerkracht: Regelmatige testprogramma's inclusief kwetsbaarheidsbeoordelingen, scenarioanalyses en geavanceerde, door dreigingen aangestuurde penetratietesten (TLPT) voor kritieke entiteiten

  4. Risicobeheer door derden: Strikt toezicht op ICT-dienstverleners, inclusief contractuele vereisten, due diligence, monitoring en exitstrategieën

  5. Informatie delen: Vrijwillige regelingen voor het delen van informatie over cyberdreigingen en best practices tussen financiële entiteiten onderling

Belangrijkste vereisten

Financiële entiteiten moeten verschillende verplichte capaciteiten implementeren:

  • ICT-risicobeheerkader: Gedocumenteerd beleid, procedures en controles die zijn afgestemd op de vijf pijlers

  • Governance en verantwoording: Toezicht op bestuursniveau, duidelijke rollen en verantwoordelijkheden, en betrokkenheid van het leidinggevend orgaan

  • Veerkrachtstests: Jaarlijkse testprogramma's, inclusief TLPT voor significante entiteiten om de drie jaar

  • Classificatie en rapportage van incidenten: Systemen om grote incidenten te detecteren, classificeren en rapporteren binnen de gestelde termijnen

  • Registers van derden: Het bijhouden van uitgebreide registers van alle ICT-dienstverleners en contractuele regelingen

  • Bedrijfscontinuïteit en herstel na calamiteiten: Plannen en middelen om de operationele activiteiten tijdens verstoringen voort te zetten

DORA legt aanzienlijke sancties op bij niet-naleving, waaronder boetes tot 2% van de wereldwijde jaaromzet voor ernstige inbreuken.

Cruciale externe ICT-dienstverleners

DORA introduceert een uniek toezichtskader voor kritieke externe ICT-dienstverleners (TPP's). Deze aanbieders krijgen te maken met:

  • Direct reglementair toezicht: Toezicht door de Europese toezichthoudende autoriteiten (ESA's)

  • Aanwijzingscriteria: Gebaseerd op systemisch belang, vervangbaarheid en diensten aan meerdere financiële entiteiten

  • Verzwaarde verplichtingen: Vereisten op het gebied van risicobeheer, incidentrapportage en veerkrachtstests

Als u cloud-, datacenter- of kritieke softwarediensten levert aan financiële entiteiten in de EU, valt u mogelijk onder het TPP-regime van DORA.

Hoe ISMS Copilot helpt

ISMS Copilot biedt uitgebreide ondersteuning voor DORA-compliance:

  • Kaderspecifieke begeleiding: Stel vragen over specifieke DORA-pijlers, artikelen of vereisten

  • Beleid genereren: Creëer audit-ready ICT-risicobeheerbeleid, incidentrespons-procedures en kaders voor het beheer van derden

  • Hiaatanalyse: Upload bestaande documentatie om hiaten ten opzichte van de DORA-vereisten te identificeren

  • Risicobeoordelingen: Genereer DORA-conforme ICT-risicobeoordelingen voor systemen en relaties met derden

  • Planning van incidentrespons: Ontwikkel schema's voor incidentclassificatie en rapportageworkflows

  • Werkruimte-organisatie: Beheer DORA-projecten afzonderlijk van andere compliance-initiatieven

De AI heeft directe kennis van de structuur van DORA en de technische reguleringsnormen (RTS), zodat u in uw prompts naar specifieke artikelen of pijlers kunt verwijzen.

Probeer eens te vragen: "Genereer een sjabloon voor de risicobeoordeling van externe ICT-partijen, afgestemd op DORA-artikel 28" of "Wat zijn de termijnen voor incidentrapportage onder DORA?"

Aan de slag

Om te beginnen met DORA-compliance in ISMS Copilot:

  1. Maak een speciale werkruimte aan voor DORA-compliance

  2. Vraag de AI om specifieke pijlers of vereisten uit te leggen die relevant zijn voor uw type organisatie

  3. Genereer basisbeleid voor ICT-risicobeheer en incidentrespons

  4. Upload bestaand ICT-beleid voor een hiaatanalyse

  5. Ontwikkel een register van derden en een risicobeoordelingsproces aan de hand van AI-begeleiding

Gerelateerde bronnen

  • Officiële tekst van de DORA-verordening: EUR-Lex

  • Richtsnoeren en technische reguleringsnormen van de Europese toezichthoudende autoriteiten (ESA's)

Was dit nuttig?