DORA: Alles wat je moet weten over de Digital Operational Resilience Act
Vanaf 17 januari 2025 wordt DORA (Digital Operational Resilience Act) van kracht. Deze Europese regelgeving verplicht financiële instellingen om hun digitale weerbaarheid te versterken en cyberrisico’s beter te beheersen. Maar wat houdt DORA precies in? En hoe verschilt het van NIS2?
Wat is DORA?
DORA is een Europese verordening die de cybersecurity en digitale operationele veerkracht binnen de financiële sector naar een hoger niveau tilt. Het doel? Het minimaliseren van IT-risico’s en het voorkomen van cyberincidenten die de financiële stabiliteit in gevaar kunnen brengen.
DORA bestaat uit drie lagen:
- Level 1: De algemene verordening met bindende regels
- Level 2: Technische standaarden en implementatierichtlijnen
- Level 3: Toezichtmaatregelen en nalevingscontrole
De eerste technische standaarden werden in januari 2024 goedgekeurd door de Europese Commissie. De tweede fase, met richtlijnen voor Threat-Led Penetration Testing (TLPT) en incidentrapportage, moet vóór 17 juli 2024 worden ingediend.
Voor wie geldt DORA?
DORA geldt voor een uitgebreide groep financiële instellingen en hun IT-dienstverleners, waaronder:
✔ Banken en beleggingsondernemingen
✔ Verzekeraars
✔ Betaalinstellingen & elektronische geldinstellingen
✔ Pensioenfondsen
✔ Crowdfunding-platforms
Daarnaast geldt DORA ook voor IT-leveranciers die diensten leveren aan deze financiële entiteiten.
De 5 pijlers van DORA
DORA legt strikte eisen op binnen vijf kritieke domeinen:
- IT-risicobeheer
Organisaties moeten een uitgebreid kader rond risicobeheer opzetten met beleid, procedures en controles. - Incidentbeheer & rapportage
Een incident response plan is verplicht om cyberdreigingen snel te detecteren en te verhelpen. - Testen van digitale veerkracht
Regelmatige cybersecuritytests, zoals Threat-Led Penetration Testing (TLPT), zijn verplicht. - Beheer van risico’s bij IT-leveranciers
Bedrijven moeten een vendor risk management-strategie opstellen en actief monitoren. - Samenwerking & informatie-uitwisseling
DORA stimuleert intelligente samenwerking tussen financiële instellingen en IT-serviceproviders om cyberdreigingen sneller te detecteren en af te wenden.
DORA vs. NIS2: Wat is het verschil?
Naast DORA treedt ook NIS2 in werking, een bredere EU-wetgeving die zich richt op cybersecurity binnen kritieke infrastructuren.
- Voor financiële instellingen geldt: Als een bedrijf onder beide regelgevingen valt, heeft DORA voorrang bij strengere eisen.
- NIS2-boetes kunnen oplopen tot 2% van de wereldwijde omzet, en directieleden kunnen persoonlijk aansprakelijk worden gesteld voor nalatigheid.
Wat zijn de gevolgen van niet-naleving?
- Financiële sancties van nationale toezichthouders
- Reputatieschade en verlies van klantvertrouwen
- Mogelijke juridische vervolging bij grove nalatigheid
Hoe bereid je jouw organisatie voor op DORA?
Het naleven van DORA vereist een strategische aanpak en gespecialiseerde expertise. Tyneso is ISO 27001-gecertificeerd en ondersteunt financiële instellingen bij het opzetten van een waterdichte cybersecurity strategie.
- Wil je zeker zijn dat jouw organisatie DORA-compliant is?
- Benieuwd hoe wij jouw cybersecurity kunnen versterken?
𝗖𝗼𝗻𝘁𝗮𝗰𝘁𝗲𝗲𝗿 𝗧𝘆𝗻𝗲𝘀𝗼 𝘃𝗼𝗼𝗿 𝗲𝗲𝗻 𝗴𝗿𝗮𝘁𝗶𝘀 𝗰𝗼𝗻𝘀𝘂𝗹𝘁!
📞 +32 (0)3 123 45 67
📩 info@tyneso.com
Blijf compliant en secure!
Wil je meer weten over hoe je jouw organisatie veiliger kunt maken en tegelijkertijd compliant blijft?