DORA toch opgedrongen aan kleine kantoren?
Adfiz zegt vurig te hopen dat de AFM bij de invulling van de DORA “niet verder gaat dan Europa en geen nationale koppen zet op de set aan regels die er nu ligt, wat indertijd wel is gebeurd bij de invoering van de IDD”.
DORA (Digital Operational Resilience Act) stelt eisen aan financiële organisaties ten aanzien van IT risicomanagement, IT-incidenten, periodieke testen van digitale weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden.
Voor financieel dienstverleners (meer specifiek: verzekeringstussenpersonen en herverzekeringstussenpersonen) geldt op basis van de inmiddels aangenomen verordening dat zij onder DORA vallen als zij meer dan 250 fte in dienst hebben en een omzet van meer dan 50 miljoen euro en/of een balanstotaal groter dan 43 miljoen hebben.
Kleinere ondernemingen vallen – anders dan aanvankelijk – dus toch niet onder het toepassingsbereik van DORA. Adfiz: “De afgelopen jaren hebben we in Europa – via Bipar – ons best gedaan om ervoor te zorgen dat de regels naar verhouding van de aard en omvang van de onderneming mogen worden toegepast; ondernemingen met minder dan 250 medewerkers vallen nu buiten de scope van DORA. Het is goed dat Europa de reikwijdte aldus heeft bepaald. Eerder was er immers sprake van om alleen de kleine en micro-ondernemingen buiten de scope te laten.”
Raamwerk
De AFM meent desondanks dat DORA ook deze ondernemingen prima diensten kan bewijzen. De toezichthouder in het rapport Marktindrukken 2022: “Hoewel DORA alleen van toepassing is op de grotere FD’ers met meer dan 250 fte’s, zijn wij van mening dat DORA ook als raamwerk kan dienen voor de (proportionele) inrichting van de ICT-beheersing van kleinere en daarmee alle ondernemingen. DORA kan onder toepassing van proportionaliteit een mogelijke invulling bieden van de integere en beheerste bedrijfsvoering op IC- aspecten. Een van de voordelen van het gebruik van DORA voor ondernemingen die niet onder DORA vallen, is dat ondernemingen zelf ‘het wiel niet hoeven uit te vinden’ qua beleid en richtlijnen.”
Adfiz vindt digitale weerbaarheid ook belangrijk, maar is tegen het oprekken door de AFM van de DORA-verordening, die naar verwachting overigens pas eind 2024 van kracht wordt. De zucht naar regels en controle moet volgens Adfiz – in algemene zin - juist eerder kleiner dan groter worden.
Voorbeelden
De AFM geeft in Marktindrukken 2022 een aantal voorbeelden van maatregelen uit DORA die volgens haar kunnen worden gezien als good practice voor ondernemingen die niet onder het toepassingsbereik van DORA vallen.
De AFM: “DORA stelt dat ondernemingen een ICT risicobeheersingsraamwerk moeten implementeren en dat dit onderdeel moet uitmaken van het geïntegreerd risicobeheersingsraamwerk. Dit ICT risicobeheersingsraamwerk omvat onder meer beleid, maatregelen en procedures om ICT-risico’s te beheersen. De basis voor het ICT risicobeheersingsraamwerk is een inventarisatie van ICT-assets: het in beeld brengen van de volledige ICT-huishouding, waaronder software, hardware, servers, fysieke componenten, infrastructuur en datacentra. Op basis van het inzicht in de ICT-huishouding kan vervolgens op basis van risicoanalyse een selectie van adequate beheersmaatregelen worden geïmplementeerd om de ICT-huishouding te beschermen tegen risico’s. Hierbij is het belangrijk om het ICT risicobeheersingsraamwerk periodiek te evalueren en aan te passen.
“Voor een snel herstel na ICT-incidenten is het essentieel dat ondernemingen beleid en procedures voor backup van gegevens implementeren. Daarbij kunnen ondernemingen rekening houden met de mate waarin informatie kritisch en/of vertrouwelijk is. Backups moeten regelmatig worden gemaakt, logisch en fysiek gescheiden van de productieomgeving en worden getest. Daarnaast is het belangrijk dat ondernemingen maatregelen en procedures implementeren voor het herstel van de backups. Deze kunnen in het geval van een incident worden geactiveerd zodat de bedrijfsvoering zo snel mogelijk kan worden gecontinueerd.
“Ondernemingen moeten voorbereid zijn op ICT-incidenten. Naast maatregelen zoals backup en recovery, is het ook belangrijk dat ondernemingen regelmatig de cyberweerbaarheid testen van hun ICT-huishouding. Hiervoor kan een testprogramma worden opgesteld waarbij op basis van het belang van de betreffende componenten van de ICT-huishouding, er adequate weerbaarheidstesten worden uitgevoerd. Denk hierbij aan vulnerability scans, penetratietesten en controles op de fysieke beveiliging van de ICT-huishouding. Hierbij kan gebruik worden gemaakt van interne testers of ondernemingen kunnen hiervoor externe expertise inschakelen. Als er wijzigingen aan systemen plaatsvinden, kan het nodig zijn om systemen opnieuw te testen.”
Pragmatisch
Adfiz geeft de voorkeur aan een pragmatische aanpak. Adfiz adviseert de risico’s op het gebied van informatiebeveiliging te inventariseren, te bepalen welke maatregelen je wilt treffen om de risico's te verkleinen/voorkomen, afspraken te maken over wie verantwoordelijk is voor de informatiebeveiliging, te zorgen dat bovenstaande geïmplementeerd wordt in de bedrijfsvoering, dit alles schriftelijk vast te leggen (beleid opstellen). Zie verder het Adfiz-kennisportaal Digitale Weerbaarheid.
Reactie toevoegen
Meer over
Advies op onafhankelijke basis
De 1 april ingevoerde vergelijkingskaart (met overgangstermijn van een half jaar) introduceert het begrip advies op onafhankelijke basis geïntroduceerd. In...