DORA-Update AFM: aandacht voor beheren van ICT-risico’s van derde aanbieders
De AFM heeft haar tweede publicatie uitgegeven waarin de inhoudelijke aspecten van de Digital Operations Resilience Act (DORA) worden toegelicht. In deze editie wordt ingegaan op het beheren van ICT-risico’s van derde aanbieders.
De AFM: "Om in de hele keten weerbaar te zijn tegen cyberdreigingen en ICT-verstoringen, is het belangrijk om aandacht te besteden aan de risico’s van het afnemen van ICT-diensten van derde aanbieders. Om te beginnen moeten ondernemingen expliciet aandacht besteden aan de IT-risico’s die voortkomen uit het gebruiken van diensten van derde aanbieders. Daarnaast verwacht DORA dat ondernemingen een strategie ontwikkelen voor het beheersen van deze zogenoemde third party risks, waarbij de risico’s van het uitbesteden van kritieke diensten regelmatig worden herzien. Ook wordt voorgeschreven welke elementen ondernemingen op moeten nemen in contractuele overeenkomsten met derde aanbieders. In deze publicatie wordt verder ingegaan op deze onderwerpen en hoe deze DORA-proof te krijgen."
Sinds januari 2023 is DORA van kracht. DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Ondernemingen hebben tot januari 2025 de tijd om aan de regelgeving te voldoen. Daarna is DORA officieel van toepassing en gaan de AFM en DNB toezicht houden op de verordening. Voor een deel van de ondernemingen gelden nu overigens ook al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.
DORA geldt voor grotere ondernemingen. De AFM meent echter dat ook financieel dienstverleners die niet onder DORA vallen, baat kunnen hebben bij de verordening.
Reactie toevoegen
Meer over
"Reputatieschade cyberincident groter dan kosten om te voldoen aan DORA"
"De financiële schade en reputatieschade die een bedrijf kan oplopen door een cyberincident, is veel groter dan de kosten die nodig zijn om te voldoen aan DORA”,...
De adviseur als digitale regisseur
(Michael Mackaaij, voorzitter Contactgroep Automatisering, in VVP-special Business Support 2025) Vanaf 2026 verandert er veel in het regelgevend kader voor financieel...
Uitbestedingsregister blijft boven markt hangen
Minister Heinen laat het uitbestedingsregister zoals de AFM graag zou zien nog boven de markt hangen. De minister in antwoord op Kamervragen: "Naar aanleiding van...
Branche vindt aanscherpen uitbestedingsregels niet nodig
De branche vindt aanscherping van de uitbestedingsregels niet nodig. Dat blijkt uit de reacties op de inmiddels gesloten internetconsultatie Wijzigingsbesluit financiële...
Verbond: huidige uitbestedingsregels voldoen
Het Verbond van Verzekeraars maakt zich zorgen over de voorgestelde nieuwe regels voor het uitbesteden van werkzaamheden door verzekeraars en andere financiële...
Bijna helft verzekeraars beheerst operationele risico's nog steeds onvoldoende
DNB ziet dat, ondanks een lichte verbetering ten opzichte van vorig jaar, bijna de helft van de verzekeraars in Nederland in 2024 nog niet voldoet aan het door de...
Europese toezichthouder wil kleine verzekeraars uitsluiten van DORA
Kleine Europese (her)verzekeraars, die na de Solvency II-review buiten de reikwijdte van Solvency II vallen, moeten ook uitgesloten worden van de eisen die de Digital...
NN haalt particuliere schadeportefeuille weer naar huis
Nationale-Nederlanden gaat per 1 juli 2026 haar intermediaire particuliere schadeverzekeringen weer zelf beheren. Edwin Grutterink, directeur Nationale-Nederlanden...
De AFM heeft een checklist DORA gepubliceerd. De toezichthouder: "De checklist kunnen ondernemingen als startpunt gebruiken om op een aantal punten helder te krijgen...
Internetconsultatie 'Implementatiebesluit DORA'
Financiën is de internetconsultatie gestart van het 'Implementatiebesluit digitale operationele weerbaarheid financiële sector (DORA)'. Het besluit zorgt...