AFM vraagt aandacht voor de voorbereiding op DORA

Op 20 juli 2023 heeft de Autoriteit Financiële Markten ('AFM') een publicatie uitgegeven met als doel de financiële sector voor te bereiden op de komst van de Digital Operations Resilience Act ('DORA').

DORA betreft een pakket aan Europese wetgeving bestaande uit onder meer de Verordening (EU) 2022/2554 (de 'Verordening') die gezamenlijk met name tot doel heeft de ICT- en cyberweerbaarheid van de financiële sector te verbeteren en versterken. Als gevolg van de toenemende digitalisering worden financiële ondernemingen steeds meer afhankelijk van ICT-diensten. Verstoringen in de ICT-keten kunnen leiden tot problemen in de continuïteit en bedrijfsvoering, die op hun beurt voor onder meer risico's ten aanzien van consumentenbescherming en de financiële stabiliteit kunnen zorgen. Het wettelijke kader voor ICT- en cyberbescherming is tot op heden met name op sectoraal niveau vastgesteld en als gevolg daarvan versnipperd. Daarom is op Europees niveau DORA vastgesteld.

De Verordening is van toepassing vanaf 17 januari 2025. Om de financiële sector voor te bereiden op DORA heeft de AFM de publicatie 'Goed voorbereid op de komst van DORA' (de 'Publicatie') uitgegeven. De Publicatie is de eerste editie in een reeks waarin de inhoudelijke aspecten van DORA worden toegelicht.

Vrijwel alle gereguleerde financiële ondernemingen worden geraakt door DORA, waaronder in ieder geval Solvency II-verzekeraars en herverzekeraars. Voor verzekeringsadviseurs- en bemiddelaars, gevolmachtigd agenten en herverzekeringsbemiddelaars geldt dat zij uitsluitend onder het toepassingsbereik van DORA vallen voor zover zij niet als micro-ondernemingen, kleine of middelgrote ondernemingen kwalificeren. Concreet betekent dit dat DORA niet van toepassing is als de onderneming minder dan 250 personen in dienst heeft en een jaaromzet van maximaal € 50 miljoen en/of een jaarlijkse balans van ten hoogste € 43 miljoen heeft.

DORA bevat uiteenlopende verplichtingen met betrekking tot ICT-diensten, die DORA definieert als digitale en gegevensdiensten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden verleend, waaronder hard- en softwarediensten, met uitzondering van traditionele analoge telefoondiensten. Kortom, vrijwel alle denkbare digitale diensten en datadiensten zullen onder het bereik van DORA komen te vallen. Van de instellingen die onder het toepassingsbereik van DORA vallen vereist de Verordening dat zij op risico gebaseerde wijze maatregelen nemen in het kader van onder meer:

1. ICT-risicobeheer;
2. ICT-gerelateerde incidenten;
3. Testen van digitale operationele weerbaarheid;
4. Beheer van ICT-risico van derde aanbieders.

Ook voorziet DORA in minimumvereisten voor uitbestedingsovereenkomsten die door financiële ondernemingen met aanbieders van ICT-diensten worden gesloten.

Een groot deel van DORA verplichtingen wordt nog in meer detail uitgewerkt door middel van Regulatory Technical Standards ('RTS') en Implementing Technical Standards ('ITS'). De Publicatie bevat per onderdeel een overzicht van wanneer deze RTS en ITS aan de Europese Commissie ter vaststelling worden voorgelegd. Daarnaast bevat de Publicatie voor elk van de hierboven genoemde hoofdonderwerpen handvatten die financiële ondernemingen in staat moeten stellen om te analyseren waar zij staan op het gebied van cyberveiligheid en welke stappen ze nog moeten zetten om aan de verplichtingen van de Verordening te voldoen.

Contact

Wilt u weten hoe u uw onderneming het beste kunt voorbereiden op DORA en of de door uw onderneming gesloten uitbestedingsovereenkomsten aanpassing behoeven op grond van DORA? Neem dan contact met ons op.