De DORA implementeren per januari 2025: nog alle tijd, of niet?
Met de komst van DORA (Digital Operational Resilience Act) komen er nieuwe eisen op financiële dienstverleners af. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen en daarmee weerbaarder te worden tegen cyberdreigingen en ICT-verstoringen. Hierbij richt de DORA zich specifiek op de risico’s van het afnemen van ICT-diensten van derde aanbieders.
In een tijd waarin ontwikkelingen in een razend tempo gaan en we steeds afhankelijker worden van alle soorten van informatie- en communicatietechnologie (ICT), is dit ook van belang is voor kleinere organisaties. Die krijgen echter middels het opgenomen evenredigheidsbeginsel de ruimte voor een eigen belangenafweging: de vereisten uit de Dora moeten geïmplementeerd moeten worden op een manier die past bij de omvang, het algehele risicoprofiel en de aard, schaal en complexiteit van een organisatie.
DORA is een complex wettelijk kader dat veel verschillende onderwerpen en vereisten bevat; van IT Risicomanagement tot contract- en SLA-management. Ook wordt voorgeschreven welke elementen ondernemingen op moeten nemen in contractuele overeenkomsten met derde aanbieders. Praktische handvatten hiervoor zijn te vinden in de recente publicatie van de AFM: ‘Aan de slag met Dora’.
Pas per januari 2025, dus nog alle tijd toch?
De Dora is afgelopen januari in werking getreden en ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. In dit kader hebben zowel AFM als DNB laten blijken veel belang te hechten aan een goede beheerste bedrijfsvoering, waaronder de beheersing van ICT-risico’s.
Hoewel organisaties dus nog iets meer dan 12 maanden de tijd hebben om te implementeren, moeten in die tijd ook de bestaande processen en procedures aangepast worden. Van interpretatie naar implementatie vereist nauwe samenwerking tussen een grote diversiteit aan disciplines, waaronder legal en compliance. Voor kleinere organisaties die deze expertise niet in huis hebben of grotere organisaties die tijdelijk willen opschalen in een onderdeel van de benodigde expertise, kan een interim jurist of interim compliance professional de oplossing zijn. Deze kunnen het implementatieproces op specifieke onderdelen helpen versnellen of coördineren. Daarnaast zijn deze specialisten vanuit hun brede kennis en ervaring binnen een veelheid aan organisaties (in de financiële sector) goed in staat de DORA in een bredere organisatorische of regulatoire context te plaatsen. Interim Solutions heeft ervaring met het ondersteunen in specialistische vragen als deze en werkt met een netwerk van onafhankelijke en zeer ervaren interim juristen en compliance professionals.
Benieuwd hoe we jouw organisatie kunnen helpen? Ik praat graag met je bij!