De komst van de Digital Operational Resilience Act (DORA) op 17 januari 2025 brengt een einde aan de versnippering van wettelijke verplichtingen voor ICT-processen en -beveiliging. Financiële entiteiten worden tegen die tijd verplicht om volledig compliant te zijn met zowel DORA als de bijbehorende technische reguleringsnormen. Een aantal specifieke onderdelen van DORA moeten nog verder worden uitgewerkt in level 2 en level 3 wetgeving. Deze niveaus vertegenwoordigen meer gedetailleerde regels en uitwerkingen van de verplichtingen die in de wet zijn vastgelegd.
Op 8 december hebben de Europese toezichthouders (EBA, ESMA en EIOPA, gezamenlijk de 'ESAs') de tweede reeks concept technische uitvoeringsnormen gepubliceerd. Deze tweede reeks normen omvat vier 'Regulatory Technical Standards' (RTS), die specifieke technische voorschriften bieden, één 'Implementing Technical Standard' (ITS), gericht op de praktische implementatie, en twee richtsnoeren, die als interpretatieve richtsnoeren dienen.
Dit artikel zoomt in op deze tweede reeks van technische regulerings-en uitvoeringsnormen invulling geven aan DORA, en ter consultatie zijn voorgelegd.
Incidentrapportage (art. 20 DORA)
RTS en ITS over inhoud, tijdlijnen en sjablonen voor incidentrapportage
De concept RTS met betrekking tot de rapportage vereisten van ernstige incidenten, behandelt drie onderwerpen:
De concept ITS bevat een uitwerking van de standaardformulieren voor de generieke rapportagevereisten en de rapportages voor ernstige ICT-incidenten en significante cyberdreigingen.
Kostenrapportage (art. 11 DORA )
Richtsnoeren voor het rapporteren van totale kosten en verliezen als gevolg van grote incidenten.
De concept richtsnoeren geven aan hoe moet worden gerapporteerd over de schatting van de totale jaarlijkse kosten en verliezen veroorzaakt door grote ICT-gerelateerde incidenten. De richtsnoeren introduceren een rapportage over de bruto kosten en verliezen, de financiële terugvorderingen en over de netto kosten en verliezen.
Testvereisten (art. 26 DORA)
RTS on threat-based penetration testing (TLPT)
Art.26 van DORA vereist dat financiële entiteiten ten minste elke drie jaar geavanceerde tests uitvoeren door middel van TLPT. Dit zijn de entiteiten die niet onder het versimpelde ICT Risk Framework vallen (art. 16), ook micro-ondernemingen zijn uitgezonderd. Deze RTS beschrijft de eisen die worden gesteld aan deze testen.
Uitbesteding (art. 30 DORA)
RTS over de onder-uitbesteding van kritieke of belangrijke functies
Deze concept RTS gaat dieper in op de vereisten van art. 30 lid 2 sub a over welke elementen een financiële entiteit moet beoordelen in geval van onder-uitbesteding van ICT-diensten die kritieke of belangrijke functies ondersteunen.
Toezicht (art. 41 en 32 DORA)
RTS over harmonisatie van het toezicht
Richtsnoeren over samenwerking in het toezicht tussen ESA's en bevoegde autoriteiten
Deze laatste twee documenten hebben betrekking op de samenwerking tussen de ESA’ss en locale toezichthoudende autoriteiten, de verdeling van taken en uitwisseling van informatie.
De publicatie van deze uitvoeringsnormen markeert het begin van een openbare consultatie, waarbij marktpartijen de mogelijk hebben om tot 4 maart 2024 te reageren op de inhoud van de documenten. De consultatieperiode stelt de ESA’s in staat feedback van de markt te verzamelen en deze te evalueren.
Wil je op de hoogte blijven van DORA en andere ontwikkelingen in de financiële wet- en regelgeving via artikelen, e-papers en checklist?
Na de consultatieperiode worden de definitieve versies gepubliceerd op 17 juli 2024. Als dat het geval is, worden ze opgenomen in de Regulatory Change module van onze compliance software, Ruler. Deze nieuwe module helpt financiële organisaties bij het implementeren van nieuwe wet- en regelgeving en bevat alle vereisten van DORA op een toegankelijke manier.
De Regulatory Change module helpt je om:
Wij helpen organisaties om te voldoen aan de vereisten van DORA. Bijvoorbeeld door een gap-analyse uit te voeren en vervolgens te helpen bij het 'dichten' van de geconstateerde hiaten. We kunnen u ook helpen bij het opstellen, aanpassen of herzien van de benodigde beleidsregels en procedures. Hulp nodig bij het voldoen aan DORA ? Neem gerust contact met ons op.
