Verordening Digitale operationele veerkracht (DORA) aangenomen

10 februari 2023, laatst geüpdatet 28 augustus 2024
De Europese Commissie (EC) heeft op 24 september 2020 een voorstel gepubliceerd voor de verordening digitale operationele veerkracht, in het Engels: Digital Operational Resilience Act ofwel DORA. DORA is na aanpassing van de initiële tekst op 28 november 2022 door de Raad van Europa aangenomen en getekend op 14 december 2022. DORA is gepubliceerd op 27 december 2022 onder het kenmerk EU 2022/2554 en is op 16 januari 2023 in werking getreden. DORA is per 17 januari 2025 van toepassing.
Rob van Houts 
Rob van Houts 
Advocaat - Associate Partner
In dit artikel

Doelstelling van DORA

De doelstelling van DORA is samengevat:

  • Unieregels ten aanzien van digitale operationele weerbaarheid en ICT-beveiliging combineren en harmoniseren in een Verordening;
  • Het creëren van een kader voor financiële entiteiten waarvoor nog geen cyberweerbaarheidsregels bestaan;
  • Voorstellen regels om risico’s van uitbesteding ICT-diensten aan derden te mitigeren.

Wat regelt DORA?

DORA stelt uniforme vereisten met betrekking tot de beveiliging van netwerk- en informatiesystemen ter ondersteuning van bedrijfsprocessen van financiële entiteiten. Concreet gaat het om:

  1. vereisten die van toepassing zijn op financiële entiteiten met betrekking tot:
    • het risicobeheer op het gebied van informatie- en communicatietechnologie (ICT);
    • de melding van ernstige ICT-gerelateerde incidenten en, op vrijwillige basis, van significante cyberdreigingen aan de bevoegde autoriteiten;
    • de melding van ernstige betaling gerelateerde operationele of beveiligingsincidenten aan de bevoegde autoriteiten door de financiële entiteiten als bedoeld in artikel 2, lid 1, punten a) tot en met d);
    • het testen van de digitale operationele weerbaarheid;
    • de uitwisseling van informatie en inlichtingen met betrekking tot cyberdreigingen en -kwetsbaarheden; vi) maatregelen voor het goede beheer van het ICT-risico van derde aanbieders
  2. vereisten met betrekking tot de contractuele overeenkomsten tussen derde aanbieders van ICT-diensten en financiële entiteiten;
  3. regels voor de vaststelling en het beheren van het toezichtkader ten aan zien van kritieke derde aanbieders van ICT-diensten bij het verlenen van diensten aan financiële entiteiten;
  4. regels inzake samenwerking tussen bevoegde autoriteiten en regels inzake toezicht en handhaving door bevoegde autoriteiten met betrekking tot alle aangelegenheden die onder DORA vallen

Op wie is DORA van toepassing?

DORA kent een ruim toepassingsbereik. In het eerste lid van artikel 2 is een opsomming gegeven van de entiteiten waarop DORA van toepassing is. Dit is een hele ruime opsomming die uiteenloopt van kredietinstellingen, handelsplatformen, aanbieders van datarapporteringsdiensten en verzekeringsondernemingen. Vrij vertaald komt het er op neer dat zolang het maar iets met financiële producten/diensten van doen heeft, de regels waarschijnlijk van toepassing zijn.

In het derde lid van artikel 2 is vervolgens een inperking van de toepassing van DORA gegeven. Het komt er op neer dat met name de wat kleinere ondernemingen in bepaalde branches zijn uitgezonderd.

In het vierde lid is een lidstaat optie opgenomen om bepaalde specifieke entiteiten uit te sluiten van de toepassing van DORA.

Hoe is DORA opgebouwd?

Dora bestaat uit een algemeen kader met verplichtingen waarmee risico op cyberincidenten wordt verlaagd (artikelen 5 t/m 16). Vervolgens bevat DORA bepalingen ten aanzien van: het beheer, de classificatie en rapportage van ICT-gerelateerde incidenten (artikelen 17 t/m 23); het (periodiek) testen van digitale operationele weerbaarheid (artikelen 24 t/m 27); risicobeheer van en toezicht op derde partijen (ICT-dienstverleners) (artikel 28 t/m 44); en het onderling delen van informatie over cyberdreigingen (artikelen 45 t/m 56). In artikel 57 is een delegatiebepaling opgenomen, de overgangs- en slotbepalingen zijn opgenomen in de artikelen 58 t/m 64. We zullen in latere berichten meer specifiek inzoomen op enkele van deze verplichtingen.

Hoe kan Dirkzwager u helpen?

Dirkzwager heeft veel kennis op het gebied van ICT-recht en in het bijzonder het opstellen en uitonderhandelen van ICT-contracten. Daarnaast kennen wij het regulatoire kader waarbinnen financiële entiteiten moeten opereren. Deze kennis kunnen wij inzetten bij de implementatie van DORA binnen uw organisatie. Zo kunnen wij u adviseren bij de ICT-transformatie. Wij kunnen onder meer assisteren bij:

  • het uitvoeren van een DORA-'gap'-analyse met betrekking tot ICT-regelgeving
  • het uitwerken van een kader voor het beheer van ICT-risico’s en het opstellen van rapportagelijnen.
  • het opstellen van ICT-contracten die voldoen aan DORA
  • het uitwerken van kaders voor de uitwisseling van informatie en inlichtingen over cyberdreiging tussen financiële entiteit onderling

Neem gerust contact op met de contactpersonen genoemd bij dit bericht.