DNB: Het toezicht op DORA per 17 januari 2025

December 20, 2024

Per 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing. Dit moment nadert snel.

DORA is een belangrijke stap naar een veiliger en veerkrachtiger digitaal financieel landschap. DNB verwacht dat alle financiële instellingen aandacht besteden aan de implementatie van DORA om zich tijdig en gedegen op de nieuwe regelgeving voor te bereiden. In dit bericht vat DNB nogmaals samen hoe het toezicht op DORA zal worden vormgegeven en wat u van ons kunt verwachten. Ook wordt de actuele stand van zaken met betrekking tot de technische standaarden uitgelicht.

Het toezicht van DNB

DNB zet zich in voor effectief en efficiënt toezicht op de financiële sector. Daarvoor hanteren we een risicogebaseerde en proportionele benadering. Aandacht voor de cyberweerbaarheid van de financiële sector is al ruim 10 jaar onderdeel van ons toezicht. Onder DORA zullen de bestaande toezichtmethoden dan ook niet drastisch veranderen.

We continueren het bestaande toezicht waarbij DORA nieuwe accenten introduceert. Deze accenten kunnen risicogebaseerd verschillen tussen sectoren en instellingen. De prioriteiten van DNB zijn opgenomen in de individuele toezichtkalenders in het portaal Mijn DN, en in (sectorspecifieke) nieuwsuitingen. In 2025 verwachten we te werken met uitvragen, risico-identificerende gesprekken en on-site onderzoeken. Dit is niet significant anders dan wat u de afgelopen jaren van ons gewend bent.

Stand van zaken level 2-wetgeving

De ontwikkeling van de technische standaarden (de nadere uitwerking van DORA) is opgedeeld in twee sets. Op dit moment zijn alle technische standaarden uit de eerste set officieel vastgesteld. Deze zijn per 17 januari 2025 onverkort van toepassing en vormen vanaf dan de basis voor het toezicht van DNB.

Voor de tweede set laat de finale vaststelling door de Europese Commissie nog op zich wachten. De tijd tussen de vaststelling van de technische standaarden uit de tweede set en het moment dat DORA van toepassing wordt op 17 januari 2025 is dan ook kort. Het is zelfs mogelijk dat bepaalde technische standaarden pas na 17 januari 2025 worden vastgesteld. Dit heeft gevolgen voor de implementatie door financiële instellingen en het toezicht van DNB hierop.

DNB houdt op transparante wijze toezicht op financiële instellingen. Zo is DNB gehouden aan de algemene beginselen van behoorlijk bestuur. Dit betekent onder andere dat zolang de technische standaarden niet officieel zijn vastgesteld, DNB deze niet zal handhaven en ook niet op een later moment met terugwerkende kracht alsnog kan toepassen. DNB houdt in haar toezicht kortom rekening met de omstandigheden en tijdslijnen waarbinnen wetgeving gefinaliseerd is.

Op 11 juli 2024 maakte DNB bekend dat DORA per 17 januari 2025 de huidige Good Practice Informatiebeveiliging 2023 vervangt voor de instellingen die onder de reikwijdte van DORA vallen. DNB zal dan ook geen geactualiseerde Good Practice uitbrengen.

EBA, ESMA en EIOPA (de ESA’s) bereiden communicatie voor over welke bestaande guidelines en opinies, die overlap kennen met DORA en de level 2-wetgeving, worden ingetrokken en/of aangepast. Over het algemeen geldt: DORA gaat als verordening voor op guidelines en opinies.

Wat verwacht DNB van u?

Implementatie van de wetgeving

Hoewel er nog enkele onzekerheden bestaan, zoals de laatste technische standaarden die dit jaar in draft zijn gepubliceerd maar nog niet officieel  vastgesteld, verwacht DNB dat financiële instellingen hun organisatie de afgelopen tijd al in grote mate hebben klaargemaakt voor DORA.

Naast het feit dat de meeste delen van DORA al geruime tijd finaal zijn, zijn voor veel sectoren momenteel al sectorale guidelines of Good Practices beschikbaar. Voor instellingen die hier zorgvuldig aandacht aan hebben besteed, zal de overgang naar DORA kleiner zijn.

DNB verwacht dat financiële instellingen de nodige middelen inzetten om te zorgen dat zij tijdig zijn voorbereid op DORA. Om dit te ondersteunen kan worden gedacht aan een gap-analyse met een bijhorend activiteitenplan op basis van de DORA level 1-wetgeving en eerste set technische standaarden.

DNB verwacht ook dat instellingen nu al voorbereidende werkzaamheden treffen op basis van de draft technische standaarden uit de tweede set (zie publicaties 17 juli 2024 en 26 juli 2024) zodat zij na de officiële goedkeuring de implementatie van deze standaarden op gepaste termijn kunnen finaliseren.

De sector wordt aangemoedigd om, in lijn met de geest van DORA en eerdere oproepen van DNB, kennis en praktische handvatten voor de implementatie van DORA en de beheersing van de cyberweerbaarheid te ontwikkelen en te delen. Sectorvertegenwoordigers en kennisgroepen, zoals NOREA, hebben onder meer al templates, contractaddenda en gap-analyses beschikbaar gesteld.

DNB benadrukt daarbij wel dat het voldoen aan geldende wet- en regelgeving te allen tijde de verantwoordelijkheid blijft van de instelling. Als u gebruik maakt van dergelijke handreikingen is het aan uzelf om deze voldoende toe te spitsen op uw eigen organisatie.

Testen van digitale operationele weerbaarheid

DNB start het eerste kwartaal van 2025 met het aanwijzen van instellingen die worden geacht threat-led penetration tests, of TLPT, uit te voeren. We zullen in de planning van deze testen rekening houden met al uitgevoerde TIBER-testen. Als blijkt dat een financiële groep onder zowel een DNB- als AFM-vergunning wordt aangewezen voor TLPT, zullen DNB en de AFM samenwerken om de beste opzet te bepalen. Ook op andere vlakken zullen DNB en de AFM waar mogelijk samenwerken.

Ook van financiële instellingen die niet worden aangewezen voor TLPT, verwacht DNB dat ze een degelijk en alomvattend programma hebben voor het testen van de digitale operationele weerbaarheid. Het is belangrijk dat deze financiële instellingen goed kunnen onderbouwen welke testen zij passend achten, daarbij rekening houdende met onder andere hun omvang, risicoprofiel en de complexiteit van de financiële dienstverlening. Artikel 25 van DORA gaat in op verschillende soorten testen die hiervoor geschikt kunnen zijn.

Bij het opstellen van het testprogramma kunnen ook testen onder het ART-raamwerk worden opgenomen. Waar TLPT is bedoeld voor de grootste financiële instellingen, is ART bedoeld voor financiële instellingen die qua omvang of ICT-volwassenheid onder deze groep zitten en baat hebben bij een test met betrokkenheid van de testmanagers bij DNB. DNB zal deze instellingen proactief benaderen om het uitvoeren van cyberweerbaarheidstesten via ART te stimuleren.

Handhaving op de naleving van DORA

Het toezicht van DNB op de naleving van DORA kan gepaard gaan met handhaving. De naleving van wet- en regelgeving is allereerst een taak van financiële instellingen zelf. Als toezichthouder ziet DNB hierop toe en stuurt erop aan dat risico’s in kaart worden gebracht en adequaat worden beheerst. DNB handhaaft risicogebaseerd en heeft hiervoor zowel informele instrumenten (zoals een normoverdracht via een gesprek of brief) en formele instrumenten (zoals een bestuurlijke boete) tot haar beschikking.

Met oog voor de specifieke situatie en het niet-normconforme gedrag, bepaalt DNB de interventiestrategie op basis van het handhavingsbeleid. Welke maatregel(en) we inzetten en de wijze waarop, hangt onder andere af van de ernst en verwijtbaarheid van de situatie en de nalevingshouding van de instelling. Dit is niet anders dan hetgeen u al gewend bent binnen andere aspecten van ons toezicht. DORA heeft dus niet geleid tot een aanpassing in het handhavingsbeleid.

De ESA’s publiceerden op 4 december 2024 hun verwachtingen over het van toepassing worden van DORA. DNB hecht veel belang aan convergentie in hoe wij en toezichthouders in andere Europese lidstaten DORA implementeren en in het toezicht verwerken. DNB zal hier blijvende aandacht voor vragen. De internationale financiële sector en al haar ICT-dienstverleners vormen tezamen één ecosysteem. Dit betekent dat als we de digitale operationele weerbaarheid van het gehele ecosysteem kunnen versterken, iedereen daar de vruchten van plukt.

Meldingen en rapportages

Tot slot kent DORA verschillende meldings- en rapportageverplichtingen. Zo dienen financiële instellingen per 17 januari 2025 in staat te zijn ernstige ICT-gerelateerde incidenten te melden bij DNB. Ook dienen zij te beschikken over een informatieregister met een overzicht van alle ICT-diensten die de instelling van derde partijen afneemt, inclusief onderuitbesteding. Dit register zal in de eerste helft van 2025 worden opgevraagd zodat het proces rond de aanwijzing van kritieke derde aanbieders van ICT-diensten kan worden opgestart.