Sinds 17 januari 2025 is er formeel sprake van een compliance verplichting met DORA, de Europese verordening die beoogt de informatiebeveiliging in de financiële sector naar een hoger niveau te tillen. Met alle uitwerkingen van Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS), die nog in de loop van 2024 werden afgerond, is het goed doorgronden van de verordening een hele kluif.
Voldoen aan DORA is geen eendagsvlieg. Het echte werk begint nu pas en zal de impact op het werk van actuarissen ook concreter maken. Want actuarissen zijn als geen ander bezig met dataverwerking, die door DORA mogelijk aan nog strengere eisen moet voldoen dan al het geval was.
Er zijn overigens parallellen te trekken met de General Data Protection Regulation (GDPR), aangezien DORA ook:
- Brussel, en niet Den Haag, als geboortegrond kent. Het maakt opnieuw duidelijk dat we als beroepsgroep de consultaties vanuit Europa serieus moeten nemen
- Impact heeft op de governance van financiële instellingen (inclusief de keten van uitbesteding). De GDPR zorgde ervoor dat het aantal mensen op de loonlijst met de aanspreektitel Privacy Officer en Functionaris Gegevensbescherming toenam. DORA komt nu in een duo met een andere vier-letter-afkorting om de hoek kijken: CISO, oftewel de Chief Information Security Officer.
- Impact heeft op het risicomanagement. Voor een bij de eigen organisatie passende implementatie van zowel de GDPR als DORA is een risicoanalyse en dataclassificatie onontbeerlijk. Het is immers alleen vast te stellen in hoeverre informatie voldoende is beveiligd – of dit nu vanuit het perspectief van dataprivacy, cybersecurity of informatiebeveiliging in bredere zin is – als uitlegbaar is welke informatie bescherming behoeft (openbare data beschermen is zinloos) en langs welke risicoscenario’s de beschermwaardige data in verkeerde handen zou kunnen komen. Hierbij kan het inzicht van actuarissen in bepaalde dataverwerkingen overigens helpen.
- Impact heeft op het uitbestedingsmanagement. Waar de GDPR een verwerkersovereenkomst en -register introduceerde, brengt DORA met zich mee dat er contractuele afspraken moeten worden vastgelegd over informatiebeveiliging en dat er een informatieregister van deze afspraken moet worden bijgehouden. Hierbij dient rekening te worden gehouden met de hele keten van uitbesteding (niet alleen de directe dienstverlener, maar ook relevante leveranciers van de directe dienstverlener).
- Impact heeft op het incidentmanagement. De GDPR bracht een meldplicht aan de toezichthouder binnen 72 uur, DORA introduceert ook een meldplicht aan de toezichthouder met specifieke tijdslijnen. Zo dient een als ‘ernstig’ geclassificeerd ICT-gerelateerd incident 4 uur na de classificatie (en uiterlijk 24 uur na de detectie) te worden gemeld. Steek jij op tijd je vinger op als je iets verdachts aantreft?
- Forse boetes introduceert in het geval de bedrijfsvoering niet op orde blijkt. In DORA is bepaald: Maximaal 2% van de totale jaarlijkse wereldwijde omzet of, in het geval van een individu, een maximale boete van EUR 1.000.000. DORA maakt het ook nog eens persoonlijk. De GDPR heeft in Nederland overigens al geleid tot opgelegde boetes.
Genoeg over parallellen, er zijn ook verschillen. Zo is DORA concreter dan de GDPR over vereisten voor het testen van de weerbaarheid van ICT. Voor alle organisaties die onder de reikwijdte van DORA vallen, is er nu een verplichting om jaarlijks kwetsbaarheden en zwakheden in systemen en applicaties te detecteren en hiervoor een testbeleid op te stellen. Bovendien kan r de toezichthouder bepalen dat een organisatie zo belangrijk is voor het functioneren van het financiële systeem dat ook Threat Led Penetration Testing (TLPT) vereist is.
Wist je al dat DNB de DORA-verordening expliciet meeneemt in de toetsing van beleidsbepalers? Ik wens hen toe dat binnen hun organisaties inmiddels is uitgekristalliseerd hoe hier op een passende wijze aan DORA wordt voldaan. En dat er – het is immers een vak apart – inmiddels een CISO op de loonlijst staat.
En dat er op 17 januari niet werd gezegd: “Ziezo, dat is ook weer achter de rug.” Want juist in deze dynamische wereld van Artificial Intelligence en cybercrime verdient informatiebeveiliging blijvende aandacht.
PS: hoe staat het eigenlijk met de voorbereidingen van jouw organisatie op de implementatie van de EU AI Act? En welke parallellen zie jij?
Deze blog is op persoonlijke titel geschreven door Leendert de Rijke BSc, lid van de Commissie ERM van het Koninklijk Actuarieel Genootschap.