Vijf manieren waarop DORA voelbaar wordt voor financials

Op 17 januari moeten alle financiële ondernemingen die onder DORA vallen (Digital Operational Resilience Act), voldoen aan de vereisten in de verordening en de nadere regelgeving. Op vijf manieren zetten de toezichthouders de financiële bedrijven aan het werk.

1. Degenen die bij een financieel berijf verantwoordelijk zijn voor digitale veiligheid, worden hierover getoetst door De Nederlandsche Bank (DNB).
2. De AFM zet twee soorten onderzoek op: thematisch of instellingsgericht. Bij een thematisch onderzoek kijkt de AFM  bij meerdere partijen of de onderneming voldoet op een bepaald punt in de regelgeving. Bij een instellingsgericht onderzoek vraagt de toezichthouder bij één onderneming allerlei stukken op die te maken hebben met ICT-beveiliging.
3. Alle ernstige ICT-incidenten en overeenkomsten met ICT-dienstverleners moeten worden gemeld bij de AFM. Vanaf 17 januari krijgen financiële bedrijven  toegang tot de DORA-pagina in bij de AFM-Portaal. Geen toegang op 17 januari? Direct melden.
4. Tijdens de vergunningaanvraag van bedrijven toetst de AFM ook op de DORA-vereisten. Alle noodzakelijke beleidstukken en procedures moeten er zijn.
5. Sommige bedrijven moeten een uitgebreide Threat Led Penetration Testing doen. Bedrijven die hiervoor worden aangewezen, zullen hier nog apart over worden geïnformeerd. De nadere regelgeving van TLPT moet nog door de Europese Commissie worden aangenomen.