Aan de slag met DORA: AFM licht testen van de digitale operationele weerbaarheid toe

Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. 

Testen van de digitale operationele weerbaarheid

DORA verwacht van financiële instellingen dat zij voldoende maatregelen nemen en processen inrichten die de informatiebeveiliging en cyberweerbaarheid helpen te verbeteren. Om te waarborgen dat deze maatregelen voldoen, is het belangrijk dat de ICT-instrumenten en -systemen regelmatig worden getest om eventuele kwetsbaarheden en gebreken bloot te leggen. Door regelmatig de weerbaarheid van ICT-instrumenten en -systemen te testen, kunnen ondernemingen de continuïteit van belangrijke en kritieke functies waarborgen in het geval van een verstoring.

In deze DORA update wordt dieper ingegaan op het testprogramma dat ondernemingen moeten opstellen. Het testprogramma bevat de tests, praktijken, methodologieën en instrumenten die regelmatig worden uitgevoerd om de ICT-systemen, -instrumenten en -processen te beoordelen. Daarnaast zullen een aantal ondernemingen worden aangewezen om een geavanceerde test uit te voeren door middel van threat-led penetration test (TLPT). In deze update wordt het proces rond de aanwijzing en de uitvoering van TLPT besproken.

Toezicht op de verordening

Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving. 

Meer informatie

Themapagina DORA
DORA-update 5 (pdf, 90 kB)