AFM biedt 'DORA-checklist' voor financiële ondernemingen
Financiële ondernemingen moeten vanaf 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA), een Europese verordening om zulke organisaties weerbaarder te maken tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) biedt hiervoor een checklist.
De AFM heeft, op basis van eerdere uitvragen rondom IT-beheersmaatregelen, onderzocht hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke 'DORA-thema's'.
Organisaties kunnen de bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren. Dat meldt de toezichthouder in de eigen nieuwsbrief.
Beheersmaatregelen nog vaak onvoldoende
De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel hiervan zijn onderzoeken waarin ondernemingen zelf de volwassenheid van hun
IT-beheersmaatregelen een score geven. De AFM heeft een koppeling gemaakt tussen die scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA.
DORA heeft als doel dat financiële ondernemingen ICT-risico's beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen en ICT-verstoringen. De scores van de AFM laten zien dat beheersmaatregelen vaak niet op voldoende niveau zijn en dat nog aanzienlijk werk verzet moet worden, voordat DORA van toepassing wordt in januari 2025.
Zo voldeed 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen niet volledig aan het verwachte niveau, als het gaat om ICT-risicobeheer. Ook zijn vaak verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders.
DORA-checklist
De meeste organisaties scoorden wel voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.
Het is belangrijk dat ondernemingen tijdig weten waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen, aldus de AFM. De DORA-checklist kan daarbij helpen.
Vanwege de omvang van DORA is de checklist niet volledig, benadrukt de toezichthouder. Meer informatie is beschikbaar via de website van de AFM.
Gerelateerd
AFM waarschuwt voor valse mails uit naam van toezichthouder
De Autoriteit Financiële Markten (AFM) waarschuwt voor valse e-mails die uit naam van de AFM worden verzonden en waarin wordt gevraagd naar bijvoorbeeld SBI-codes...
Volwassenheidsmodel informatiebeveiliging geactualiseerd
Een recente update van het volwassenheidsmodel informatiebeveiliging van NBA en NOREA moet organisaties helpen om hun informatiebeveiliging beter te kunnen meten,...
Ceo van falend beveiligingsbedrijf CrowdStrike was eerder accountant
Ceo George Kurtz van CrowdStrike, het Amerikaanse beveiligingsbedrijf dat recent miljoenen Windows-computers op hol liet slaan, werkte aanvankelijk als accountant...
Europese banken onvoldoende voorbereid op cyberaanval
Europese banken zijn nog onvoldoende voorbereid op een cyberaanval. Een cyberstresstest die de Europese Centrale Bank (ECB) uitvoerde, bracht verschillende tekortkomingen...
Politie spoort 186 Nederlandse slachtoffers van cryptofraude op
Bij een internationale operatie zijn de afgelopen maanden ook 186 Nederlandse slachtoffers van 'approval phishing' geïdentificeerd. Bij deze vorm van cryptofraude...