Zo checkt DNB of financials DORA-proof zijn

De Digital Operational Resilience Act (DORA) is vanaf 17 januari 2025 van toepassing op financiële bedrijven, zoals banken en verzekeraars. Ze moeten digitaal weerbaar zijn en hun ICT-risicomanagement op orde hebben. Degenen die hiervoor verantwoordelijk zijn bij financiële bedrijven, worden hierover getoetst door De Nederlandsche Bank (DNB).

DNB heeft nu de criteria gepubliceerd die het gebruikt om de specialisten bij financiële bedrijven te toetsen die verantwoordelijk zijn voor digitale weerbaarheid en ICT-risicomanagement.

• Bij de beoordeling van het aangeleverde toetsingsdossier wordt kennis en ervaring op het gebied van ICT-risicomanagement meegewogen. Een nadere toelichting hierover kan worden gedeeld in de besluitvorming en overwegingen bij de benoeming en/of in de toelichting van de geschiktheidsmatrix.

• Ook in toetsingsgesprekken kan DORA aan de orde komen. Een kandidaat kan worden gevraagd naar zijn of haar kennis van DORA, ICT- risicomanagement en de digitale weerbaarheid van de instelling.

Verwachtingen

Bij het beoordelen van de geschiktheid hanteert DNB de vijf geschiktheidsonderwerpen die zijn opgenomen in de Beleidsregel geschiktheid 2012 | De Nederlandsche Bank. Van een kandidaat-bestuurder, -commissaris, -toezichthouder of andere (mede)beleidsbepaler wordt onder andere verwacht dat diegene:

• Kan aangeven wat onder DORA wordt verstaan en wat de belangrijkste eisen zijn die deze wetgeving stelt ten aanzien van digitale operationele weerbaarheid.

• Heeft, afhankelijk van zijn of haar functie, in voldoende mate kennis en ervaring op het gebied van ICT-risicomanagement, ICT-incidenten, het (periodiek) testen van digitale operationele weerbaarheid, de beheersing van uitbestedingsrisico’s en de samenwerking rond uitwisseling van informatie over cyberdreigingen.

• Is in staat om ten aanzien van ICT-risicomanagement verantwoordelijkheid te dragen, op adequate wijze strategie en beleid te vormen en navolgbare beslissingen te nemen (of daarop toe te zien als interne toezichthouder).

• Beschikt in voldoende mate beschikt over relevante competenties zoals adaptief vermogen, helikopterzicht, omgevingssensitiviteit, onafhankelijke oordeelsvorming en overtuigingskracht.

Proportionele toepassing

Bij de toetsing houden we rekening met de specifieke functie, de aard, omvang, complexiteit en het risicoprofiel van de instelling en de samenstelling en het functioneren van het collectief. We verwachten daarom van een beleidsbepaler die verantwoordelijk is voor het ICT-risicobeheer meer diepgaande kennis, ervaring en competenties ten aanzien van aan DORA gerelateerde onderwerpen dan van een beleidsbepaler met een meer algemene portefeuille.