Financiële ondernemingen scoren nog niet naar tevredenheid op hun ict-beveiliging, constateert de AFM. Dat is extra relevant, nu per 17 januari 2025 de Digital Operational Resilience Act (DORA) van kracht wordt. De toezichthouder geeft een checklist uit waar ondernemingen mee aan de slag kunnen.

De EU-verordening DORA stelt strenge en uitgebreide eisen aan de beheersing van ict-risico’s van bedrijven in de financiële sector: verzekeraars, banken, intermediairs, enz. Doel is die risico’s beter te beheersen en zo weerbaarder worden tegen cyberdreigingen.

De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de sector. Ze heeft op basis van eerdere uitvragen rondom ict-beheersmaatregelen gekeken naar hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke DORA-thema’s.

Beheersmaatregelen vaak niet op voldoende niveau

De scores laten zien dat de beheersmaatregelen vaak niet op voldoende niveau zijn en dat er nog aanzienlijk werk verzet moet worden voordat DORA van toepassing wordt. Ook voor het ict-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit geldt voor 81% van de financiële dienstverleners, 58% van de kapitaalmarktpartijen en 42% van de beleggingsondernemingen.

Daarnaast zijn bij verschillende ondernemingen verbeteringen nodig van de governance rondom ict-risicobeheer, de ict-asset-inventaris en het risicobeheer van derde aanbieders.

De meeste bedrijven scoorden wel voldoende op de inrichting van back-up en herstelmogelijkheden; maar DORA stelt ook op dit punt aanvullende en gedetailleerde eisen.

Checklist

De toezichthouder moedigt de ondernemingen aan om tijdig helder krijgen “waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen”. De checklist kunnen ze hiervoor als startpunt gebruiken

Bedoeling van DORA is allereerst de cyberveiligheid van andere bedrijven in de financiële sector op een hoger niveau te brengen. Daarnaast is harmonisatie tussen de EU-lidstaten onderling gewenst.

Verzekeraars moeten in principe allemaal voldoen aan DORA. Voor volmachthouders en intermediairbedrijven geldt een ondergrens: zij vallen in scope van de verordening als ze meer dan 250 fte in dienst hebben, óf een jaarlijkse omzet boeken van € 50 miljoen of meer én een balanstotaal van € 43 miljoen en meer.

Kleinere volmachthouders en intermediairs krijgen vaak toch met DORA te maken via het uitbestedingscontract van de partijen waarmee ze samenwerken.

Bron: AFM