AFM biedt 'DORA-checklist' voor financiële ondernemingen
Financiële ondernemingen moeten vanaf 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA), een Europese verordening om zulke organisaties weerbaarder te maken tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) biedt hiervoor een checklist.
De AFM heeft, op basis van eerdere uitvragen rondom IT-beheersmaatregelen, onderzocht hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke 'DORA-thema's'.
Organisaties kunnen de bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren. Dat meldt de toezichthouder in de eigen nieuwsbrief.
Beheersmaatregelen nog vaak onvoldoende
De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel hiervan zijn onderzoeken waarin ondernemingen zelf de volwassenheid van hun
IT-beheersmaatregelen een score geven. De AFM heeft een koppeling gemaakt tussen die scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA.
DORA heeft als doel dat financiële ondernemingen ICT-risico's beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen en ICT-verstoringen. De scores van de AFM laten zien dat beheersmaatregelen vaak niet op voldoende niveau zijn en dat nog aanzienlijk werk verzet moet worden, voordat DORA van toepassing wordt in januari 2025.
Zo voldeed 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen niet volledig aan het verwachte niveau, als het gaat om ICT-risicobeheer. Ook zijn vaak verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders.
DORA-checklist
De meeste organisaties scoorden wel voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.
Het is belangrijk dat ondernemingen tijdig weten waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen, aldus de AFM. De DORA-checklist kan daarbij helpen.
Vanwege de omvang van DORA is de checklist niet volledig, benadrukt de toezichthouder. Meer informatie is beschikbaar via de website van de AFM.
Gerelateerd
Kwart organisaties niet voorbereid op cyberaanval
Ongeveer een kwart van alle middelgrote en grote Nederlandse organisaties is onvoldoende voorbereid op een cyberdreiging, komt naar voren uit een onderzoek van Motivaction...
Cybersecuritybeeld: meer digitale dreiging in Nederland
De digitale dreiging voor Nederland is groot en divers. Nederland is doelwit van cyberaanvallen maar wordt ook geraakt door cyberaanvallen elders, die doorwerken...
Digitale veiligheid is voor accountants cruciaal
In een tijd waarin digitale dreigingen steeds geavanceerder worden, is cybersecurity van cruciaal belang voor accountants. Tijdens de komende Accountantsdag gaan...
Rijksoverheid begint campagne tegen online oplichting
In 2023 had twee op de drie Nederlanders van vijftien jaar en ouder te maken met valse e-mails of andere berichten van online criminelen. Om mensen te wapenen tegen...
Ondernemers in financiële dienstverlening kunnen nog profiteren van cyberveiligheidssubsidie
Veel kleine bedrijven in de sector financiële dienstverlening hebben nog niet genoeg maatregelen genomen om hun cyberveiligheid te waarborgen. Een nieuwe subsidieregeling...