Digital Operational Resilience Act (DORA)
De Digital Operational Resilience Act is een Europese verordening die strenge eisen stelt aan de digitale operationele veerkracht van financiële entiteiten. Sinds 17 januari 2025 van toepassing, bestrijkt de verordening ICT-risicobeheer, incidentmelding, veerkrachttests en toezicht op kritieke derde dienstverleners.
DORA beantwoordt de groeiende afhankelijkheid van de financiële sector van digitale technologieën door een geharmoniseerd kader voor operationele veerkracht op EU-niveau vast te stellen. De verordening is van toepassing op meer dan 20 categorieën financiële entiteiten: banken, verzekeraars, vermogensbeheerders, handelsplatformen, betalingsdienstaanbieders en ook als kritiek aangemerkte ICT-derde dienstverleners.
De verordening rust op vijf pijlers: ICT-risicobeheer (governance, beheerkader, beveiligingsbeleid); melding van ernstige ICT-incidenten aan bevoegde autoriteiten; tests van digitale operationele veerkracht, inclusief geavanceerde penetratietests voor significante entiteiten; beheer van ICT-derdepartijrisico's; en informatie-uitwisseling over cyberdreigingen tussen financiële entiteiten.
Voor KYC- en documentverificatiedienstverleners heeft DORA directe gevolgen: als ICT-leveranciers van de financiële sector kunnen zij worden aangemerkt als kritieke aanbieders en onderworpen worden aan direct toezicht van de Europese toezichthouders. Zij moeten servicecontinuïteit, beveiliging van verwerkte gegevens en weerstand tegen cyberaanvallen waarborgen.
Regelgeving
Praktijkvoorbeelden
- 1.Een Europese bank moet al haar ICT-dienstverleners in kaart brengen, waaronder haar leverancier voor identiteitsverificatie op afstand, en het concentratierisico beoordelen als die leverancier meerdere kritieke functies ondersteunt.
- 2.Een verzekeraar voert geavanceerde penetratietests uit op zijn online acceptatiesysteem, inclusief de KYC-module, om de weerbaarheid tegen een gericht cyberaanvalscenario te valideren.
- 3.Een betalingsdienstaanbieder meldt een ernstig ICT-incident bij de toezichthouder binnen 4 uur na detectie van een storing in zijn identiteitsverificatiedienst die de onboarding van nieuwe klanten beïnvloedt.