DORA is chefsache

Door Amba Zeggen, Lead Risk Culture and Behavior bij Probability & Partners

Als je actief bent in de financiële sector, kan de komst van DORA (Digital Operational Resilience Act) je niet zijn ontgaan. Financiële instellingen hebben tot en met 17 januari 2025 om te voldoen aan deze EU-wetgeving, die erop gericht is de digitale weerbaarheid van financiële instellingen tegen cyberdreigingen te versterken.

Het is zeker niet nieuw dat je je als organisatie moet beschermen tegen IT-risico’s. Wel nieuw is dat deze regelgeving veel gedetailleerder en strikter is dan het huidige normenkader (onder andere de DNB Good Practice 2019/2020 en 2023), met meer directe regels en principes.

In de voorbereiding van een webinar over dit onderwerp heb ik een aantal organisaties gevraagd naar hun meest prangende vragen over DORA. Naast vragen over de verschillen met de huidige regelgeving en de vereisten voor IT-leveranciers (die ook aan DORA moeten voldoen) kwam de vraag langs waar in een organisatie de verantwoordelijkheid voor DORA-implementatie dient te liggen. Is dat nu de IT-afdeling, of risicomanagement, of misschien wel compliance? Een logische vraag. En ik zal heel eerlijk zijn, mijn reflex was om IT of risicomanagement te antwoorden. Maar het ligt toch iets anders.

[....]