De Europese verordening nr. 2022/2554 van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector (afgekort als DORA) heeft belangrijke gevolgen voor actoren in de financiële sector maar ook op IT-leveranciers die kritische diensten aanbieden.
Wat is DORA?
DORA wordt van toepassing vanaf 17 januari 2025. Het doel van DORA is om de operationele veerkracht van financiële dienstverleners in de EU te versterken en cyberincidenten te voorkomen en te beperken. Ze is van toepassing op kredietinstellingen, betalingsinstellingen, aanbieders van rekeningsinformatiediensten, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten en emittenten van asset-referenced token (MiCar), handelsplatformen, aanbieders van datarapporteringsdiensten, verzekeringsondernemingen, verzekeringstussenpersonen aanbieders van crowdfundingdiensten etc.
Tegen januari 2024 zullen de Europese financiële toezichthoudende autoriteiten bovendien aanvullende technische normen opstellen die DORA zullen aanvullen. Deze normen zullen meer in detail beschrijven welke maatregelen financiële entiteiten moeten nemen om te voldaan aan DORA. Deze normen zullen door de Europese Commissie in 2024 worden gepubliceerd zodat financiële entiteiten en hun IT-dienstverleners zich kunnen voorbereiden om hun werking DORA-conform te maken.
DORA is aanvullende regelgeving die bovenop NIS2 komt. Financiële entiteiten en hun IT-dienstverleners zullen zich dus aan NIS2, als lex generalis, en DORA, als lex specialis, moeten conformeren.
Gevolgen van DORA voor IT- en cloudleveranciers
Aangezien DORA cyberincidenten wil voorkomen en beperken binnen de financiële sector, is de bijstand van IT-dienstverleners cruciaal. Hierbij kan in het bijzonder gedacht worden aan waaronder verleners van cloudcomputingdiensten, software, diensten voor data-analyse en verleners van datacentrumdiensten. De DORA-verplichtingen zullen noodzakelijkerwijs doorgeschoven worden naar deze IT-dienstverleners. DORA creëert overigens ook een volledig nieuw toezichtskader voor kritieke IT-dienstverleners waarop financiële entiteiten beroep doen.
Dit zal dan ook met zich meebrengend dat heel wat contracten tussen financiële instellingen en IT-dienstverleners zullen moeten heronderhandeld worden en nieuwe contracten rekening houden met DORA. Hierbij kan in het bijzonder gedacht worden aan SAAS en cloudcontracten maar ook service level agreements.
DORA introduceert een kader dat uit 5 pijlers bestaat: (i) ICT-risicobeheer, (ii) de melding van ernstige ICT-incidenten, (iii) het testen van de digitale operationele weerbaarheid, (iv) het uitwisselen van informatie m.b.t cyberdreigingen en (v) maatregelen voor het goede beheer van het ICT-risico van derde aanbieders.
De risico’s die gepaard gaan met het beroep op IT-dienstverleners moeten uitdrukkelijk opgenomen worden in het kader voor ICT-risicobeheer. Financiële entiteiten zijn verplicht om een strategie voor het risico van derden aanbieders aan te nemen en moeten een informatieregister bijhouden met alle contracten met hun IT-dienstverleners. DORA bevat ook vereisten voor het bestellen van nieuwe IT-diensten, voor het beëindigen van deze IT-diensten alsook belangrijke contractuele bepalingen die moeten worden opgenomen in contracten met IT-dienstverleners.
