Er is nieuwe wetgeving op komst voor het weerbaar maken van ICT in financiële sectoren op basis van een Europese verordening die dergelijke richtlijnen van lidstaten gelijk wil trekken. Waar gaat het precies om?
Wat is DORA?
De Europese verordening Digital Operational Resilience Act (DORA) richt zich op het technische herstelvermogen van kritische Europese financiële infrastructuur, zoals banken. Het doel is dat aanvallen beter afgeweerd kunnen worden en dat organisaties sneller herstellen van een groot IT-incident. Financiële instellingen moeten compliant zijn aan een groot aantal regels, maar er ontbrak een kader voor de ICT-voorziening. Na de financiële crisis van 2008 is het monitoren van de financiële sector hoger op de politieke agenda gekomen.
Aan de compliance-eisen voor de sector worden nu specifieke ICT-eisen toegevoegd. Lidstaten hebben vaak al op nationaal niveau regelgeving voor kritieke ICT-infrastructuur, zo hebben in Nederland vitale aanbieders een zorgplicht en moeten ze incidenten melden bij toezichthouders onder de Wbni, maar digitale problematiek is natuurlijk niet aan grenzen gebonden. De nieuwe verordening zorgt voor een geharmoniseerde aanpak tussen EU-landen.
De compliance-eisen van DORA moeten de sector weerbaarder maken. Na onder meer de grote DDoS-aanvallen op banken in 2013, waarbij enkele grote banken en iDeal-betalingen enkele uren uitvielen, is duidelijk geworden dat de ICT van de financiële sector van levensbelang is. De meeste lidstaten stellen eisen aan kritieke infrastructuur en met DORA moeten de ICT-regels van financiële instellingen gelijkgetrokken worden.
Lees ook: 5 vragen over cryptovalutawetgeving MiCAR
Voor wie is dit belangrijk?
De nieuwe regels gelden voor bijna alle financiële entiteiten die op de kapitaalmarkt actief zijn, zoals banken, investeringsmaatschappijen en verzekeraars. In een herziening van deze verordening gaan ook auditors onder de wetgeving vallen. Ook dienstverleners die werken met banken, bijvoorbeeld de ICT-leverancier van een financiële entiteit, vallen onder de nieuwe regels. In de artikelen van het aangepaste wetsvoorstel worden de volgende entiteiten benoemd:
- kredietinstellingen
- betalingsinstellingen (PSP’s)
- instellingen voor elektronisch geld
- beleggingsondernemingen
- aanbieders van cryptoactivadiensten
- centrale effectenbewaarinstellingen
- centrale tegenpartijen
- handelsplatformen
- transactieregisters
- beheerders van alternatieve beleggingsinstellingen en beheermaatschappijen
- aanbieders van datarapporteringsdiensten
- verzekerings- en herverzekeringsondernemingen
- verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen
- instellingen voor bedrijfspensioenvoorziening
- ratingbureaus
- beheerders van cruciale benchmarks
- aanbieders van crowdfundingdiensten
- third party ICT-dienstverleners
Vanaf wanneer geldt dit?
De Raad en het Parlement zijn het eens geworden over een voorlopige tekst. Op 10 november 2022 heeft het Europees parlement deze tekst met een overgrote meerderheid aangenomen. Dat betekent dat de wet op korte termijn, waarschijnlijk het eerste kwartaal van 2023, gaat gelden voor lidstaten. Zoals altijd, moet de verordening nu in nationale wetgeving worden geïmplementeerd. Landen hebben daar 24 maanden de tijd voor.
