DORA en risicomanagement: 5 vragen voor financiële instellingen

De invoering van DORA vraagt om nieuwe strategieën. Leer meer over de gevolgen voor de sector.

Begin 2024 is Florian Jacoby overgestapt van de Franse naar de Nederlandse EY adviespraktijk, waar hij zich bezighoudt met risk management in combinatie met operational resilience. We vroegen hem naar zijn ervaringen.

1. Hoe verandert DORA het risicolandschap voor digitale en operationele veerkracht binnen de financiële sector?

“DORA heeft zeker de potentie om dat landschap fundamenteel te wijzigen op basis van een uniform regelgevingskader. Deze harmonisering door middel van standaardisering van vereisten voor financiële instellingen is cruciaal. Dat zorgt voor een uniforme wijze van bijvoorbeeld het melden van incidenten en risico’s in relatie tot derde partijen. Daarvoor moet iedere financiële instelling een robuust raamwerk implementeren voor het identificeren, inschatten en mitigeren van kwetsbaarheden. Dat gaat echt veel verder dan bijvoorbeeld de European Banking Authority-richtlijnen voor het managen van uitbestedingsrisico’s rond derde partijen. Mede daarom voldoen veel instellingen nog niet volledig aan de DORA-eisen.”

2. Welke stappen moeten financiële instellingen minimaal zetten om compliant te blijven?

“Instellingen hebben zich tot nu toe vooral gefocust op DORA gap assessments en het opstellen van road maps om aan de regels te voldoen. Dat zijn zinvolle exercities voorafgaand aan de implementatie van een ICT Risk Management Framework. Daarnaast moet een heldere governancestructuur zijn ingericht die precies aangeeft waar welke verantwoordelijkheden liggen. Bovendien moeten er processen en protocollen aanwezig zijn om het ICT Risk Management Framework te versterken, de testvereisten te beheren en incidenten tijdig te kunnen melden.”

3.  Welke belangrijkste openstaande problemen zie je nog?

“De implementatie van DORA stelt financiële instellingen voor verschillende uitdagingen. Kleinere instellingen kunnen problemen ondervinden door beperkte middelen en expertise, wat leidt tot verschillen in nalevingsniveaus. Bovendien wordt het harmoniseren van DORA voor alle EU-lidstaten bemoeilijkt door verschillen in nationale regelgeving en toezichtspraktijken. Het beheersen van risico's van derden, met name van wereldwijde serviceproviders, maakt de zaak nog ingewikkelder omdat instellingen de naleving van DORA in verschillende regelgevende omgevingen moeten waarborgen.” 

4. Hoe verhoudt DORA zich tot andere wetgeving, zoals GDPR en NIS2? 

“Deze wetgevingen zijn naar mijn mening bijzonder verweven met elkaar. Sommige instellingen benaderen regelgeving liever afzonderlijk en proberen daar dan aan te voldoen door individuele vereisten af te vinken. Zo werkt het niet. In mijn optiek is het noodzakelijk om een integrale visie te ontwikkelen op operational resilience in relatie tot regelgeving als DORA, GDPR en NIS2. Daartussen moet je verbindingen maken. Er is van nature al een verbinding tussen GDPR en DORA, waar de gemeenschappelijk focus ligt op het beschermen van data en het melden van incidenten. NIS2 legt meer de nadruk op cyber security en resilience, en ook die elementen komen we tegen in DORA. Wel hanteren DORA en NIS2 ieder hun eigen verslaggevingskader; waar DORA de impact van incidenten op financiële stabiliteit meeneemt, vereist NIS2 inzicht in de impact op de continuïteit van de dienstverlening. ”

5. Wat komt er na DORA nog op ons af aan resilience?

“Als het gaat om cyberveiligheid zullen instellingen in de toekomst ongetwijfeld geconfronteerd worden met nieuwe risico’s. Bijvoorbeeld door de toepassing van kunstmatige intelligentie. Dat zal zeker leiden tot het ontstaan van nu nog onbekende risico’s waarvoor de huidige regelgeving onvoldoende bescherming biedt. Het ligt voor de hand dat daarvoor aanvullende wetgeving nodig zal zijn. Ik denk in dat verband ook aan één van de pijlers van DORA over het tussen financiële instellingen onderling op vrijwillige basis delen van informatie over beveiligingsincidenten. Dat zou op termijn best een verplichting kunnen worden.”
 

Dit is een artikel uit het Eye on Finance magazine. Download hier de PDF voor meer inzichten over DORA en de financiële sector of bekijk de andere artikelen hieronder.