DORA staat voor Digital Operational Resilience Act en is op 16 januari van dit jaar van kracht geworden. Deze nieuwe Europese wet- en regelgeving moet lijn brengen in de versnipperde regelgeving die in verschillende EU-landen geldt. Net als alle financiële instellingen staan pensioenuitvoerders voor de uitdaging om de basiswetgeving van DORA te implementeren in de organisatie. In dit blog leggen we uit wat DORA inhoudt en hoe Visma Idella klanten helpt om aan de eisen te voldoen.
DORA is ingedeeld in vijf hoofdthema’s
- ICT-risicobeheer
- Beheer en rapportage van ICT-incidenten
- Testen van operationele weerbaarheid van ICT-systemen
- Beheer van ICT-risico’s van derde aanbieders
- Informatie-uitwisseling over cyber dreigingen en kwetsbaarheden
ESA houdt toezicht op DORA
Om de implementatie van DORA mogelijk te maken, hebben de Europese toezichthoudende autoriteiten (ESA's) het mandaat gekregen om beleidsrichtlijnen te ontwikkelen via het Gemengd Comité (JC). Deze eerste batch van de beleidsproducten moet uiterlijk op 17 januari 2024 ingeleverd worden, de tweede batch volgt op 17 juni 2024.
Aangescherpte criteria ICT-aanbieders
De ESA’s zijn ook door de Europese Commissie gevraagd om advies te geven over de criteria voor het aanwijzen van cruciale ICT-diensten van derde aanbieders. Dit onderwerp wordt momenteel nader onderzocht door zowel Visma Idella als De Nederlandsche Bank (DNB). Dit eindrapport moest voor 30 september 2023 ingediend worden.
DORA in Nederland
Op dit moment zijn de specifieke eisen die De Nederlandse Bank stelt met betrekking tot DORA nog niet in detail bekend. De komende periode zal DNB de eisen toetsen, valideren en formuleren. Als dat gebeurd is, wordt DORA opgenomen in een nieuwe versie van de bestaande DNB Good Practice informatiebeveiliging. Deze zal waarschijnlijk in januari 2024 beschikbaar zijn.
DORA Task Force
Tijdens onze periodieke afstemming met DNB staan de ontwikkelingen rondom DORA steevast op de agenda. Visma Idella heeft ook een speciale DORA Task Force in het leven geroepen waarin alle Visma-bedrijven hun kennis en kunde bundelen om een eenduidige visie en compliance strategie te formuleren. Een voorbeeld hiervan is een fit/gap analyse tussen DORA-eisen en de (bestaande) onderdelen in het Visma Application Security Program (VASP).
Check onze website voor updates
Kortom, Visma Idella monitort de ontwikkelingen rond DORA op de voet, vanuit klant, toezichts- en corporate perspectief. Op de website van Visma Idella zullen wij regelmatig updates verzorgen via de link https://www.visma-idella.nl/dora-compliance/. Iedere 6-8 weken verzorgen wij een beknopte statusupdate en geven wij inzicht in de vervolgstappen.
Meer weten?
We kunnen ons goed voorstellen dat u vragen heeft over DORA en de rol van Visma Idella bij de implementatie van de nieuwe regelgeving. Neem dan contact op met uw eigen contactpersoon binnen Visma Idella. Zij zorgen dat uw vragen worden behandeld door de juiste specialisten.