Nieuws 27/06/24

DORA-update: beheer, classificatie en rapportage van ICT-gerelateerde incidenten

De Autoriteit Financiële Markten (AFM) publiceert de vierde DORA-update waarin de inhoudelijke aspecten van de Digital Operational Resilience Act (DORA) worden toegelicht. In deze handreiking gaan we in op ICT-gerelateerde incidenten. Om de effecten van deze incidenten te kunnen beperken, is het belangrijk dat deze adequaat worden gedetecteerd, afgehandeld en gemeld.

Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties ICT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen.

Beheer van ICT-gerelateerde incidenten

Om de effecten van ICT-gerelateerde incidenten te kunnen beperken, is het belangrijk dat deze adequaat worden gedetecteerd en afgehandeld. Dit vereist een robuust beheersproces, consistente classificatie en registratie, en rapportage aan de toezichthouder. Dit draagt bij aan een grotere digitale weerbaarheid van ondernemingen.

In deze DORA-update wordt dieper ingegaan op het beheer van ICT-incidenten, classificatie en registratie van ICT-incidenten en het rapporteren van ernstige ICT-incidenten en significante cyberdreigingen.

De vereisten die van toepassing zijn voor ICT-gerelateerde incidenten worden in de verordening beschreven in hoofdstuk III (artikel 17-23). Daarnaast wordt een deel van de vereisten verder uitgewerkt in de RTS voor artikel 15, 18(3), 20(a) en de ITS voor artikel 20(b).

Toezicht op de verordening

Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.