DORA komt eraan! En toepassen vergt een transitie
DORA komt eraan! En toepassen vergt een transitie
Hacks, spyware, deepfakes, voice cloning – allerlei soorten cyberdreigingen zetten financiële organisaties en systemen onder druk. Daarom gaat in 2025 de Digital Operational Resilience Act (DORA) in. Een Europese verordening, bedoeld om de sector weerbaarder te maken. Maar wat is precies het nut en de noodzaak van DORA, en hoe bereid je je erop voor? We laten twee experts van CACEIS Nederland aan het woord.
De genoemde experts, dat zijn Henk Brink, Senior Market Intelligence Officer en Raymond Boddenberg, Legal Counsel. Dat we dit gesprek met hen voeren is geen toeval. Beiden zijn lid van een werkgroep die als taak heeft om CACEIS NL zelf zo goed mogelijk voor te bereiden op de komst van de nieuwe wetgeving uit Europa. En om in- en externe verplichtingen van DORA in kaart te brengen. Welke mogelijkheden en uitdagingen zien zij? En wat merk je als CACEIS-klant van DORA?
Allereerst, waarom is de sector toe aan DORA?
Raymond: “Goede vraag, waarom doen we dit eigenlijk? Nou, denk eens aan de impact van een majeure verstoring. Een hack in de financiële wereld waarbij alle persoons- en of transactiegegevens op straat komen te liggen, of het grootschalig wegsluizen van financiële waarden. Het zou onze economie volledig ontwrichten. Je ziet dat de financiële sector veiliger wordt omdat bedrijven zelf meer over hun bescherming nadenken. Maar de regelgever wil er toch meer grip op krijgen door standaarden op te leggen en de reikwijdte van de operationele weerbaarheidsverplichtingen behoorlijk op te rekken.”
Henk: “Tokenization, blockchain, artificial intelligence – de discussies over alles wat met digitalisering te maken nemen al jaren toe. Ook in externe gremia zien we dit, zoals de Dutch Advisory Committee on Securities Industry (DACSI). Met name vanwege de impact op de post trade-dienstverlening. Daarbij heeft de Europese Commissie zich gerealiseerd dat de digitalisering een enorme vlucht neemt, terwijl het toezicht erop gefragmenteerd en weinig gestandaardiseerd is. De Commissie vond ook dat de reikwijdte van de instellingen die zich aan DORA moesten committeren veel breder moest worden. Hierdoor zijn clearing-instellingen (CCP’s) en centrale bewaarinstellingen (CSD’s) nu ook onderhevig aan de DORA-verplichtingen. Bovendien zijn de zogenaamde ‘third party providers’ ook uitdrukkelijk in scope.”
Wat merken jullie klanten van DORA?
Raymond: “Vrijwel al onze klanten vallen onder DORA. Ze moeten dus aan de bijbehorende verplichtingen gaan voldoen, en dit vergt niets minder dan een transitie. DORA bestaat uit vijf pilaren: ICT risk management, het rapporteren van ICT-incidenten, het testen van digitale operationele veerkracht, het delen van informatie en inlichtingen en het beheer van ICT-risico’s van derden. Hier moet je je organisatie zorgvuldig op inrichten. Ook krijg je te maken met governance. Dit betekent bijvoorbeeld dat het senior management verantwoordelijk is voor het hele proces.”
Henk: “In hun samenwerking met CACEIS zullen klanten zien dat het niveau van onze dienstverlening gelijk blijft of zelfs stijgt. Alle verplichtingen die DORA aan ons allen stelt, noodzaken alleen maar om nog beter te testen op bedrijfskritische ICT-systemen, en om alerter te zijn. De financiële industrie is al de meest gereguleerde industrie ter wereld, dus daar verandert DORA op zich niets aan. Wel zet het de structuren scherper neer. Vanuit compliance-oogpunt zullen er meer checks and balances gaan gelden – zowel tussen klant en CACEIS als tussen ons en de ICT-suppliers.”
Hoe implementeren jullie DORA zelf?
Raymond: “Zoals gezegd, het is echt een transitie, en die zijn we aangegaan. Zowel vanuit CACEIS Groep (als onderdeel van Crédit Agricole) als de Nederlandse branche is een kernwerkgroep ingezet, waarin de verantwoordelijken voor compliance, risk, legal en IT samenwerken. Wij monitoren kritische IT-applicaties op Nederlands niveau terwijl de Groep kijkt naar systemen die centraal draaien voor 18 landen.”
Henk: “DORA was vanzelfsprekend niet nieuw voor ons. Toen de eerste aanzetten vanuit ESMA werden gemaakt, wisten we waar de focus op zou komen te liggen. Net als de sector zelf, gaven wij altijd al veel prioriteit aan cyber security en het ICT risk management framework, aan incidentenrapportages en aan business continuity-testen. DORA heeft dit compacter gemaakt en strenger neergezet. Maar waar DORA vooral het verschil maakt, is met haar reikwijdte. Er is een breder toezichthoudend kader neergezet. En dat is alleen maar goed. Nieuwe wet- en regelgeving zoals DORA is niet alleen een soort corvee. We moeten het ook aangrijpen om nog eens heel goed naar de kritieke ICT-processen te kijken en te verbeteren waar nodig. Het helpt ons om de wereld een stukje veiliger te maken. En dat geldt natuurlijk voor de hele industrie.”