HER's hebben aandacht voor IT-beveiliging, extra stappen nodig voor DORA
Handelaren voor eigen rekening (HER's) hebben oog voor informatiebeveiliging, maar vaak zijn nog niet alle relevante onderdelen van de Digital Operational Resilience Act (DORA) in kaart gebracht en ingevoerd. De Autoriteit Financiële Markten (AFM) heeft een verkennend onderzoek uitgevoerd naar de voorbereiding op DORA bij een aantal HER's en deelt de aandachtspunten in een rapport. Dit rapport kunnen HER's maar ook andere ondernemingen gebruiken voor verdere implementatie van de vereisten van DORA, die per 17 januari 2025 in werking treedt.
In het kort
- Nog belangrijke stappen nodig voor DORA implementatie
- AFM deelt aanbevelingen: gap-analyse, classificatie en uitbesteding
- Aandacht voor informatieregister, uitvraag in februari
- Aanbevelingen ook relevant voor andere financiële instellingen
Nog belangrijke stappen nodig voor DORA implementatie
Op basis van de documentatie en gesprekken met een beperkt aantal HER's is de conclusie dat de mate waarin instellingen klaar zijn voor DORA per 17 januari 2025 in grote mate verschilt. Een aantal partijen is kortgeleden gestart met de implementatie van de DORA-eisen binnen hun organisatie en het lijkt onwaarschijnlijk dat zij per 17 januari DORA compliant zullen zijn. Andere partijen zijn verder op weg, maar het is de vraag of zij volledig compliant zullen zijn met alle specifieke vereisten van DORA.AFM deelt aanbevelingen: gap-analyse, classificatie en uitbesteding
Gebaseerd op de gegeven aandachtspunten heeft AFM de volgende aanbevelingen:- Voer een volledige gap-analyse uit
Voor instellingen die dit nog niet gedaan hebben, is het advies zo snel mogelijk een volledige gap-analyse uit te voeren op alle Regulatory Technical Standards en actie te ondernemen op geïdentificeerde verbeterpunten.
- Classificatie ICT-ondersteunde bedrijfsfuncties en ICT-assets
Weeg alle informatiebeveiligingscriteria (beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit) mee in het classificeren van de ICT-ondersteunende bedrijfsfuncties en de informatie- en ICT-assets.
- Beschouw interne uitbesteding als externe uitbesteding
Onder DORA gelden voor interne uitbesteding in principe dezelfde eisen als voor externe uitbesteding. Dat betekent dat er ook voor deze uitbestedingen afspraken moeten worden gemaakt, die alle afgenomen interne ICT-diensten dekt. Voor deze afspraken geldt er sprake moet zijn van ‘aantoonbare werking’.
Aandacht voor informatieregister, uitvraag in februari
Aanvullend op de aanbevelingen die voortkomen uit het onderzoek, vraagt de AFM aandacht voor het informatieregister. Nadat DORA in werking treedt op 17 januari 2025 wordt het informatieregister als eerste opgevraagd bij de marktpartijen. Wij zullen hiervoor in februari 2025 een informatieverzoek versturen.
Aanbevelingen ook relevant voor andere financiële instellingen
Hoewel het onderzoek is gehouden onder een beperkt aantal HER's zijn de aanbevelingen breder relevant. Ook andere financiële instellingen die onder DORA vallen, kunnen de aanbevelingen gebruiken om hun voorbereidingen te evalueren en waar nodig actie te ondernemen.
Contact bij dit artikel
Wilt u het laatste nieuws van de AFM ontvangen?
Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.