Amba Zeggen: DORA is chefsache

16 juli 2024

Door Amba Zeggen, Lead Risk Culture and Behavior bij Probability & Partners

Als je actief bent in de financiële sector, kan de komst van DORA (Digital Operational Resilience Act) je niet zijn ontgaan. Financiële instellingen hebben tot en met 17 januari 2025 om te voldoen aan deze EU-wetgeving, die erop gericht is de digitale weerbaarheid van financiële instellingen tegen cyberdreigingen te versterken.

Het is zeker niet nieuw dat je je als organisatie moet beschermen tegen IT-risico’s. Wel nieuw is dat deze regelgeving veel gedetailleerder en strikter is dan het huidige normenkader (onder andere de DNB Good Practice 2019/2020 en 2023), met meer directe regels en principes.

In de voorbereiding van een webinar over dit onderwerp heb ik een aantal organisaties gevraagd naar hun meest prangende vragen over DORA. Naast vragen over de verschillen met de huidige regelgeving en de vereisten voor IT-leveranciers (die ook aan DORA moeten voldoen) kwam de vraag langs waar in een organisatie de verantwoordelijkheid voor DORA-implementatie dient te liggen. Is dat nu de IT-afdeling, of risicomanagement, of misschien wel compliance? Een logische vraag. En ik zal heel eerlijk zijn, mijn reflex was om IT of risicomanagement te antwoorden. Maar het ligt toch iets anders.

Management aan zet

Naast dat de DORA heel nauwkeurig uitschrijft hoe je allerlei risico’s dient te beheersen en welke controls je minimaal dient te hebben, zijn ze ook klip-en-klaar over de rol van het management. Het management is bijvoorbeeld verantwoordelijk voor:

• het ontwikkelen en implementeren van een robuust kader voor operationele weerbaarheid;
• het opstellen van procedures voor het beheer van IT-incidenten, inclusief detectie, reactie, herstel en tijdig rapporteren van significante incidenten;
• het ontwikkelen van een risicobeheerstrategie die rekening houdt met alle mogelijke IT-risico's’
• het opstellen van plannen en testen voor bedrijfscontinuïteit en herstel in geval van IT-incidenten;
• het zorgen voor regelmatige training en bewustwording bij medewerkers over cybersecurity en operationele weerbaarheid, zodat iedereen in de organisatie op de hoogte is van de juiste procedures en het belang van cyberveiligheid.

Lead by example

Kortom, het is duidelijk dat DORA het management als belangrijke schakel ziet. Dit gaat verder dan slechts het leveren van een budget of hoog over besluiten nemen in een stuurgroep. Het management dient echt inhoudelijk betrokken te zijn bij de DORA-implementatie en ervoor te zorgen dat de genomen maatregelen in het kader van DORA ook echt effectief zijn.

Dat vraagt ook zeker aanscherping van kennis over IT-risico’s van het management en een proactieve houding ten opzichte van cyberveiligheid. Door hun betrokkenheid kan het management niet alleen zorgen voor de naleving van de wettelijke vereisten, maar ook het belang van cyberveiligheid voor de organisatie uitdragen.

De wortel en de stok

Gedragsverandering stimuleren gaat wat mij betreft met een wortel vele malen beter dan met een stok. Daar dacht de regelgever anders over. DORA houdt het management volledig verantwoordelijk ingeval er onvoldoende actie is ondernomen om de juiste maatregelen te treffen. Afhankelijk van de mate van nalatigheid en de impact van de overtreding kunnen financiële sancties worden opgelegd aan zowel de entiteit als aan de individuen binnen het management. De hoogte van de boetes kan aanzienlijk zijn.

Bevoegde autoriteiten kunnen ook beperkingen opleggen aan de activiteiten van de entiteit. Dit kan variëren van het beperken van bepaalde diensten tot het tijdelijk of permanent intrekken van vergunningen om bepaalde activiteiten uit te voeren. In ernstige gevallen kunnen individuen binnen het management persoonlijk aansprakelijk worden gesteld voor de niet-naleving van de wet. Dit kan resulteren in disciplinaire maatregelen, ontslag, of zelfs juridische vervolging.

Kortom DORA is in alle facetten chefsache!

Meer columns van Amba Zeggen