Digital Operational Resilience Act
Op 16 januari 2023 is DORA (de Digital Operational Resilience Act) in werking getreden. Deze nieuwe Europese wet- en regelgeving is vanaf 17 januari 2025 van toepassing. Financiële instellingen als banken, verzekeraars en pensioenfondsen dienen op dat moment te voldoen aan de eisen die DORA stelt. Ook uw organisatie zal (mogelijk) moeten voldoen aan DORA.
DORA is in het leven geroepen om versnipperde Europese regelgeving te harmoniseren, basiswetgeving te bieden voor financiële organisaties waarop nu nog geen wetgeving van toepassing is én betere risicomitigatie in de uitbesteding van financiële instellingen aan IT-dienstverleners.
DORA is ingedeeld naar vijf thema’s, te weten:
- ICT-risicobeheer
- Beheer en rapportage van ICT-incidenten
- Testen van operationele weerbaarheid van ICT-systemen
- Beheer van ICT-risico’s van derde aanbieders
- Informatie-uitwisseling over cyber dreigingen en kwetsbaarheden
Daarnaast is DORA een zogenaamde ‘lex specialis’ op de NIS2 Richtlijn alsmede artikel 11 en de hoofdstukken III, IV en VI van de CER-richtlijn. Kortgezegd betreft dit een verbijzondering op de Richtlijn.
ESA
Om tot uitvoering van de Richtlijn te kunnen overgaan, heeft DORA de Europese toezichthoudende autoriteiten (ESA’s) het mandaat gegeven om gezamenlijk, via het Gemengd Comité (JC), een reeks beleidsproducten voor te bereiden met twee belangrijke deadlines voor indiening: 17 januari 2024 (eerste batch) en 17 juni 2024 (tweede batch).
Daarnaast, zijn de ESA's door de Europese Commissie gevraagd te reageren op een ‘oproep om advies’ ter ondersteuning van de voorbereiding van gedelegeerde handelingen ter aanvulling van de DORA-tekst met betrekking tot de criteria voor het aanwijzen van ICT-diensten van derden aanbieders die als cruciaal worden beschouwd. Dit eindrapport moet uiterlijk 30 september 2023 zijn ingediend.
Vooralsnog worden onderstaande deadlines gehanteerd waarop cruciale informatie in definitieve vorm aan de sector beschikbaar wordt gesteld:
| Onderwerp | Planning finale versie |
| Oproep om advies op ‘criticality criteria’ en vergoedingen | 30/09/2023 |
| 1ste batch mandaten (Art. 15, 16(3), 18(3), 28(9) en 28(10) DORA | 17/01/2024 |
| 2de batch mandaten (Art. 11(11), 20a, 20b, 26(11), 30(5), 32(7)en 14 DORA | 17/07/2024 |
De eerste concepten van voornoemd advies en voornoemde batches zijn in mei/juni van dit jaar gepubliceerd en onderwerp van nader onderzoek bij zowel Visma Idella als DNB.
De Nederlandsche Bank
Visma Idella heeft periodiek contact met de DNB over o.a. DORA.
Op dit moment zijn de eisen die de DNB in haar nadere regelgeving omtrent DORA gaat stellen, nog niet in detail bekend. De komende periode zal DNB gedetailleerde eisen opstellen voor bovengenoemde thema’s. Deze eisen worden opgenomen in een nieuwe versie van de reeds bestaande DNB Good Practice informatiebeveiliging, welke zal dienen als leidraad voor de gehele branche. Deze komt naar verwachting in januari 2024 beschikbaar.
Aan de hand van de EU directive voorzien wij verdere verfijning en verscherping van onze dienstverlening op de volgende aandachtsgebieden.
- Informatiebeveiliging bij Visma Idella
- Technologie aanpassingen aan de VIPS oplossingen van Visma Idella
- Contractuele afspraken tussen u en Visma Idella
- Contractuele afspraken tussen Visma (Idella) en kritieke toeleveranciers
- Ketenregie Visma (Idella) en kritieke toeleveranciers
Zodra de nieuwe DNB Good Practice beschikbaar komt, voert Visma Idella, als aanbieder van IT- en/of uitvoeringsdiensten voor uw organisatie, een nadere analyse uit om de impact van de nieuwe regelgeving te bepalen op bestaande systemen en processen. Op basis van de uitkomsten zullen, waar nodig, tijdig aanpassingen worden doorgevoerd.
Wat doet Visma Idella?
Aanvullend op onze periodieke afstemming met DNB, participeert Visma Idella actief in de Visma DORA task force. In deze task force brengen alle Visma bedrijven, kennis en kunde samen en wordt een generieke visie en compliance strategie geformuleerd, door Visma bedrijven die onder de reikwijdte van DORA vallen.
Onderdeel hiervan is onder meer een fit/ gap analyse tussen DORA eisen enerzijds en de (bestaande) onderdelen in het Visma Application Security Program (VASP) anderzijds.
Hierop aanvullend zijn wij actief in gesprek met enkele van onze klanten, die vooruitlopend op de DORA implementatie, enerzijds inzicht verlangen in de activiteiten bij Visma Idella en anderzijds kennis omtrent DORA vereisten hebben opgebouwd en deze met Visma Idella delen. Met deze werkwijze trachten wij te voldoen aan de informatiebehoefte en het implementatietempo van onze klanten. Daarnaast bevordert deze werkwijze de totstandkoming van uniform toepasbare aanpassingen in werkwijze en eventueel contractwijzigingen welke mogelijk doorgevoerd moeten worden als gevolg van DORA.
Kortom, Visma Idella monitort de ontwikkelingen rond DORA op de voet, vanuit klant-, toezichts- en corporate perspectief.
Op deze webpagina zullen wij iedere 6-8 weken een beknopte statusupdate verzorgen en geven wij inzicht in de vervolgstappen.
Vragen?
Heeft u vragen met betrekking tot DORA dan verzoeken wij u deze te stellen aan uw contactpersoon binnen Visma Idella. Deze zorgt ervoor dat uw vraag wordt behandeld en beantwoord door daartoe aangewezen specialisten.