Governance en organisatie
Het inrichten van een adequate governance-structuur en optuigen van een volwassen organisatie voor het beheer van ICT-risico’s, spelen een belangrijke rol in DORA en komen in alle onderdelen naar voren. Zo is voor veel van de processen die de verordening voorschrijft, opgenomen dat ondernemingen de bijbehorende rollen en verantwoordelijkheden duidelijk moeten toewijzen.
DORA legt veel nadruk op de inrichting van het Three Lines model. Hierbij wordt verwacht dat ondernemingen zowel een controle- als auditfunctie benoemen, en deze voldoende onafhankelijk positioneren binnen de organisatie.
Ook wordt voor een deel van de beschreven processen vereist dat deze continu worden geëvalueerd en dat dit procesmatig geborgd is. Onderdeel van de verordening is ook dat bestuurders hun kennis op peil dienen te houden door het volgen trainingen en opleidingen.
Governance and control framework
Als basis vereist DORA een governance and control framework, zodat ondernemingen een controlecyclus inrichten en er continue kan worden geëvalueerd. Een belangrijk onderdeel is ook de toewijzing van de benodigde rollen op het gebied van IT-beheersing, zoals een onafhankelijke functie voor de beheersing van ICT-risico’s en een internal auditor die het framework periodiek beoordeelt.