Wat is het doel van de DORA-verordening?
Het doel van de verordening betreffende Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. voor de financiële sector (DORA) is de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. van de financiële sector te vergroten door op Europees niveau een geharmoniseerde regeling in te voeren voor de beveiliging van de informatie- en communicatienetwerken en –systemen van financiële entiteiten.
Concreet strekken de ingevoerde regels ertoe de naleving van hoge normen inzake Het beginsel van de vertrouwelijkheid van de gegevens strekt ertoe de gegevens te beschermen tegen elke ongeoorloofde toegang, ongeoorloofde verspreiding of ongeoorloofd gebruik, waardoor verzekerd is dat die gegevens enkel toegankelijk zijn voor geautoriseerde personen en systemen. , De in een computersysteem opgeslagen, verwerkte en overgelegde (in transit) gegevens blijven correct, coherent en ongewijzigd. en De gegevens moeten beschikbaar, toegankelijk en herstelbaar zijn. van gegevens en van ICT-assets (informatie- en communicatietechnologie) te waarborgen. De DORA-vereisten zijn neutraal op technologisch vlak: ze stellen doelstellingen vast, maar schrijven niet voor welke voorzieningen moeten worden getroffen om die doelstellingen te verwezenlijken, en vermelden evenmin welke voorzieningen de voorkeur genieten. Het staat financiële entiteiten dus vrij te kiezen van welke eventueel beschikbare technologische opties ze gebruik willen maken.
Financiële entiteiten moeten een kader voor ICT-risicobeheer uitwerken in overeenstemming met het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , rekening houdend met hun omvang en algeheel risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen. Elke entiteit moet dus beoordelen hoe ze de bepalingen van dat beheerkader moet toepassen in functie van haar eigen omstandigheden.
Daarentegen, in het geval van de bepalingen over de incidenten en de weerbaarheidstesten alsook het risicobeheer van derde aanbieders is de toepassing van het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. enkel toegestaan als de verordening dat expliciet vermeldt. Behalve in de gevallen waarin DORA expliciet voorziet, heeft de toepassing van het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. enkel betrekking op de toepassingsmodaliteiten, en kan ze niet tot gevolg hebben dat de financiële entiteiten zich onttrekken aan de naleving van een of meer van de in de verordening vermelde verplichtingen.
DORA zal van toepassing zijn vanaf 17 januari 2025.
Op wie is DORA van toepassing?
Beginsel: de financiële entiteiten
DORA is van toepassing op de volgende financiële entiteiten die onder het toezicht van de FSMA staan:
- de vennootschappen voor vermogensbeheer en beleggingsadvies (beleggingsondernemingen);
- de vergunde beheerders van alternatieve beleggingsfondsen;
- de beheervennootschappen van instellingen voor collectieve belegging en de zelfbeheerde instellingen voor collectieve belegging;
- de handelsplatformen;
- de crowdfundingdienstverleners (crowdfundingplatformen);
- de verzekerings- en herverzekeringstussenpersonen en de nevenverzekeringstussenpersonen;
- de instellingen voor bedrijfspensioenvoorziening (IBP’s).
De DORA-verordening is ook van toepassing op de instellingen onder toezicht van de Nationale Bank van België, zoals de kredietinstellingen, de verzekerings- en herverzekeringsondernemingen, de betalingsinstellingen, ...
Specifieke regelingen
DORA voorziet bovendien in specifieke regelingen voor bepaalde categorieën van entiteiten:
- de Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. zijn vrijgesteld van bepaalde vereisten van de verordening;
- voor de Een instelling voor bedrijfspensioenvoorziening die samen niet meer dan 100 aangeslotenen heeft. en de kleine en niet-verweven beleggingsondernemingen geldt een vereenvoudigd kader voor ICT- risicobeheer.
Vrijstellingen
Bepaalde categorieën van ondernemingen zijn daarentegen uitgesloten uit het toepassingsgebied van DORA:
- de beheerders van alternatieve beleggingsfondsen waarvan de portefeuille minder bedraagt dan de Beheerders van alternatieve beleggingsfondsen met een portefeuille die, naargelang het geval, niet meer bedraagt dan 100 of 500 miljoen euro in totaal. ;
- de instellingen voor bedrijfspensioenvoorziening die pensioenregelingen uitvoeren die samen niet meer dan 15 deelnemers tellen;
- de verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen die
Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro.
dan wel kleine of middelgrote ondernemingen zijn. DORA is daarentegen integraal van toepassing op:
- de tussenpersonen met 250 of meer personen in dienst (totaal in VTE’s);
- de tussenpersonen met een jaaromzet van meer dan 50 miljoen euro en met een jaarlijks balanstotaal van meer dan 43 miljoen euro;
- de tussenpersonen die alle voornoemde drempels overschrijden.
Waar vind je meer informatie?
DORA legt de financiële entiteiten een reeks verplichtingen op, die met name op de volgende vier grote pijlers berusten:
- ICT-risicobeheer (art. 5 tot 16 DORA);
- beheer van ICT-gerelateerde incidenten (art. 17 tot 20 DORA);
- testen van digitale operationele weerbaarheid (art. 24 en 25 DORA);
- beheer van de ICT-risico’s van derde aanbieders (art. 28 tot 30 DORA).