De Digital Operational Resilience Act (DORA), oftewel Verordening 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector, reguleert de eisen en maatregelen die ‘financiële organisaties’ helpen weerbaarder te worden tegen cyberdreigingen. De DORA trad op 17 januari 2023 in werking, maar financiële ondernemingen hoeven er pas vanaf 17 januari 2025 aan te voldoen.
De DORA stelt eisen aan de IT-systemen en het beheer daarvan voor financiële instellingen. In deze zin is de verordening een aanvulling op de AVG en de NIS2-richtlijn. Het doel van de DORA is het verhogen van digitale operationele weerbaarheid. Dit betekent dat financiële organisaties hun diensten zoveel mogelijk onafgebroken door moeten kunnen leveren bij een verstoring van de ICT en netwerk- en informatiesystemen.
De Autoriteit Financiële Markten is de toezichthouder voor het naleven van de DORA. Zij geven meer informatie over hun rol en de doelstelling van de verordening.
Verplichtingen
Financiële instellingen zijn verplicht een sterk ICT-risicobeheerskader op te zetten. Hierbij moeten zij strategieën maken om verstoringen aan te kunnen. Daarnaast moeten zij beleid maken dat verstoringen moet gaan voorkomen. Een combinatie van strategie en beschermde hardware, software en servers moet ervoor zorgen dat de financiële instanties crises kunnen voorkomen en waar nodig adequaat kunnen reageren.
Decentrale relevantie
Hoewel decentrale overheden geen financiële instelling zijn, maken ze volop gebruik van hun diensten. Het is daarom ook voor decentrale overheden belangrijk dat financiële organisaties de juist maatregelen voortijdig treffen.