In een steeds digitaler wordende wereld nemen cyberrisico’s en cybercriminaliteit constant toe. Bedrijven van alle groottes zijn kwetsbaar voor cyberaanvallen, die aanzienlijke schade kunnen berokkenen, zowel financieel als reputatieschade. In 2022 werden er in België meer dan 100.000 cyberaanvallen geregistreerd. 80% van de Belgische bedrijven heeft al te maken gehad met een cyberaanval. De gemiddelde schade van een cyberaanval bedraagt €100.000 en ja, ook jouw bedrijf is een potentieel doelwit.
De Europese en Belgische overheden weten dat zeer goed en er wordt, vooral vanuit Europa al enkele jaren gewerkt aan een breed wetgevend kader dat bedrijven duwt naar meer cyberveiligheid. Eén onderdeel van dat wetgevend kader is DORA (Digital Operational Resilience Act). DORA is een Europese verordening die de digitale weerbaarheid van de financiële sector moet versterken. De verordening maakt deel uit van een breder pakket maatregelen van de Europese Unie om cybercriminaliteit te bestrijden. Andere belangrijke initiatieven zijn de NIS-richtlijn (Directive on measures for a high common level of cybersecurity across the Union) en de Cyber Resilience ACT waarover we ook al schreven op deze blog.
DORA is een belangrijke stap om de financiële sector te beschermen tegen cyberaanvallen. De verordening stelt eisen aan de digitale weerbaarheid van financiële instellingen en verplicht hen om ICT-risico’s in kaart te brengen, cyberveiligheidsplannen te ontwikkelen én zich voor te bereiden om cyberincidenten snel en gepast te kunnen opvolgen.
Maar DORA beperkt zich niet tot banken en verzekeringsinstellingen. Ook toeleveranciers van de financiële sector kunnen onder DORA vallen. Daarom zetten we alles toch even voor jou op een rijtje.
Wanneer is DORA van toepassing op mijn bedrijf?
DORA is van toepassing op alle financiële instellingen, zoals banken, verzekeraars en beleggingsondernemingen. Maar ook niet-financiële instellingen die “kritieke diensten” leveren aan de financiële sector vallen onder de reikwijdte van de verordening. Dit zijn bijvoorbeeld:
- Cloudproviders die IT-diensten leveren aan financiële instellingen.
- Betalingsdienstaanbieders die betalingen verwerken voor financiële instellingen.
- Managed service providers die IT-infrastructuur beheren voor financiële instellingen.
Ook als je niet direct tot een van deze categorieën behoort, is het belangrijk om te controleren of DORA op jouw bedrijf van toepassing is. De verordening is namelijk breed geformuleerd en kan ook relevant zijn voor andere bedrijven die met financiële data werken of die een belangrijke rol spelen in de financiële infrastructuur.
Wat is een “kritieke” dienst?
Een kritieke dienst is een dienst die van essentieel belang is voor de werking van de financiële sector. Dit kan gaan om diensten die:
- Betalingen verwerken.
- Financiële markten in werking houden.
- Clearing- en settlementdiensten verlenen.
- IT-infrastructuur voor financiële instellingen beheren.
Enkele voorbeelden van kritieke diensten zijn:
- Het betalingsverkeer (bijvoorbeeld Visa, Mastercard) en payment providers
- De beurs (Euronext)
- Clearing- en settlementsystemen (Euroclear)
- Cloudproviders die IT-diensten leveren aan financiële instellingen
- Managed service providers die IT-infrastructuur beheren voor financiële instellingen
Wat moet je doen om je in regel te stellen met DORA?
Als je jezelf herkent in de bovenstaande beschrijving en opsomming, dan is jouw bedrijf wellicht ook onderworpen aan DORA. DORA stelt in dat geval een aantal eisen aan de digitale weerbaarheid van jouw bedrijf.
Concreet verwacht DORA van bedrijven die binnen haar toepassingsveld vallen dat zij zorgen voor de volgende punten:
- Het in kaart brengen van alle ICT-risico’s.
- Het ontwikkelen en implementeren van een plan voor het beheer van ICT-risico’s.
- Het uitvoeren van regelmatige tests van de digitale weerbaarheid.
- Het incidentenbeheer op orde brengen.
- Het melden van ernstige ICT-incidenten aan de toezichthouder.
De Financial Services and Markets Authority (FSMA) houdt toezicht op de naleving van DORA in België. Bedrijven die zich niet aan de regels houden, kunnen een boete krijgen tot 10 miljoen euro of 5% van de wereldwijde jaaromzet.
Vanaf wanneer gelden deze regels?
De deadline voor naleving van DORA is 17 januari 2025. Dit betekent dat alle financiële instellingen en leveranciers van kritieke diensten op die datum moeten voldoen aan de eisen van de verordening.
Er zijn echter overgangsbepalingen voor kleine en middelgrote ondernemingen (kmo’s). Kmo’s hebben tot 17 januari 2026 de tijd om te voldoen aan de eisen van DORA.
Om te bepalen of een bedrijf een kmo is, worden de volgende criteria gehanteerd:
- Het aantal werknemers: minder dan 250
- De jaaromzet: minder dan 50 miljoen euro
- Het balanstotaal: minder dan 43 miljoen euro
Kmo’s die aan deze criteria voldoen, krijgen dus wat meer tijd. Ze moeten ook geen tests van hun digitale weerbaarheid uitvoeren tot 17 januari 2027. Bovendien moeten ze geen incidenten melden aan de toezichthouder tot 17 januari 2028.
Het is belangrijk om te weten dat de overgangsbepalingen alleen van toepassing zijn op kmo’s die aan de criteria voldoen. Grotere bedrijven en kmo’s die niet aan de criteria voldoen, moeten op 17 januari 2025 voldoen aan alle eisen van DORA.
Hoe kan je je concreet voorbereiden op DORA?
Als je als bedrijf onder DORA zou vallen, is het hoog tijd om te starten met de nodige voorbereidingen:
- Start met een risicobeoordeling. Breng alle ICT-risico’s in kaart en bepaal de impact van deze risico’s op jouw bedrijf.
- Ontwikkel een plan voor het beheer van ICT-risico’s. Dit plan moet maatregelen bevatten om de risico’s te beperken en de impact van incidenten te minimaliseren.
- Voer regelmatig tests op je digitale weerbaarheid uit. Zo kun je zwakke plekken in je IT-infrastructuur opsporen en deze aanpakken.
- Breng je incidentenbeheer op orde. Zorg ervoor dat je een plan hebt om te reageren op ICT-incidenten en dat je deze incidenten tijdig meldt aan de FSMA.
Het bredere kader van GDPR en cybersecurity
Kader deze oefening overigens altijd binnen een breder geheel van GDPR compliance en cybersecurity. Dora is geen losstaand verhaal. Ze behoort onderdeel te zijn van een geïntegreerd dataveiligheidsbeleid binnen je onderneming. Laat het uitwerken van zo’n dataveiligheidsbeleid ook niet enkel in handen van IT of van je CISO. De juridische en praktische impact van zowel data protection als cybersecurity is verregaand en vereist een globale aanpak, waar ook je jurist of advocaat bij betrokken moet zijn.
Dacht jij bijvoorbeeld al aan deze stappen?
- Overleg de impact van Dora met je DPO
- Pas lopende verwerkersovereenkomsten onder GDPR aan
- Update je dataregister en je privacy policy om meer transparantie over de veiligheid van jouw diensten te garanderen
- Analyseer je privacy by design en by default standaarden (of implementeer die standaarden als je er nog geen hebt)
- Zorg voor een goed data breach beleid dat je toelaat om snel en gepast te reageren bij aanvallen van buitenaf
- Herevalueer de software en tools die je vandaag gebruikt van derde suppliers om conformiteit met de CRA en met cyberveiligheid in het algemeen te beoordelen
- Voer tijdig een (nieuwe) DPIA uit indien nodig, documenteer je veiligheidsbeleid,
- Laat een cybersecurity scan uitvoeren op je onderneming, zowel technisch als juridisch
- Zorg voor een goede cyberverzekering, zodat je verzekerd bent als het nodig wordt
Vragen over cybersecurity en data protection?
Bij Sirius Legal zijn we al jarenlang echte specialisten in cybersecurity en gegevensbescherming. We werken nauw samen met verschillende technische partners en verzekeraars, zodat we een globale service kunnen aanbieden aan onze cliënten.
Heb je hulp nodig bij één van bovenstaande actiepunten of heb je vragen rond GDPR en cybersecurity? Boek dan gerust een vrijblijvend eerste gesprek in via de link naast dit artikel.