Sinds 16 januari 2023 is de Europese verordening 'Digital Operational Resilience Act' (beter bekend als DORA) van kracht.
De verplichtingen die DORA invoert zullen op 17 januari 2025 in werking treden.
DORA heeft als doel 'uniforme vereisten vast te stellen met betrekking tot de beveiliging van netwerk- en informatiesystemen ter ondersteuning van bedrijfsprocessen van financiële entiteiten'. DORA wenst dus m.a.w. dat de financiële entiteiten hun ICT-risico’s beter beheersen waardoor ze weerbaarder worden tegen cyberdreigingen. Ze doet dit door verschillende ICT-vereisten te harmoniseren.
De FSMA lanceert een awareness survey m.b.t. DORA zodat zowel zijzelf als de relevante instellingen onder haar toezicht een beter zicht krijgen op hun huidige ‘volwassenheidsniveau’ in deze materie.
DORA is van toepassing op o.a. de beleggingsondernemingen, AIF-beheerders, ICBE-beheervennootschappen, zelfbeheerde ICBE, instellingen voor bedrijfspensioenvoorziening, (neven)verzekeringstussenpersonen, crowdfundingplatformen en handelsplatformen.
Die vereisten opgenomen in DORA hebben onder meer betrekking op
- het risicobeheer op het gebied van informatie- en communicatietechnologie (ICT);
- de melding van ernstige ICT-gerelateerde incidenten en van cyberdreigingen;
- het periodiek testen van de digitale operationele weerbaarheid, en;
- de maatregelen voor het goede beheer van het ICT-risico bij uitbesteding aan derden.
Hierbij tracht DORA rekening te houden met de grootteorde van de entiteit evenals met de aard en complexiteit van haar activiteiten (proportionaliteit). Zo zijn “micro-ondernemingen” (zie definitie in artikel 3, 60°, DORA) bijvoorbeeld uitgesloten van verschillende bepalingen van DORA, en wordt er voor het luik van het ICT-risicobeheer een ‘vereenvoudigd kader’ ontwikkeld voor bepaalde types entiteiten. Wat de entiteiten onder toezicht van de FSMA betreft gaat dit laatste om vennootschappen voor vermogensbeheer en beleggingsadvies (VVB) en instellingen voor bedrijfspensioenvoorziening (IBP) die aan bepaalde criteria voldoen:
- Voor een VVB: het gaat om 'kleine en niet-verweven beleggingsondernemingen', die voldoen aan de voorwaarden in artikel 12, lid 1, van Verordening (EU) 2019/2033 van het Europees Parlement en de Raad van 27 november 2019;
- Voor een IBP: het gaat om 'kleine IBP’s' die die pensioenregelingen uitvoert die samen minder dan 100 leden hebben.
Wat betreft dit laatste krijgen jullie enkel de vragen te zien in deze survey die voor jullie entiteit relevant zijn.
***
Met deze eerste high-level survey wenst de FSMA de relevante entiteiten onder haar toezicht bewust te maken van de grote thema’s waar de inwerkingtreding van DORA een impact op zal hebben. De FSMA wenst verder een eerste maal na te gaan waar de sectoren onder haar toezicht staan op dit vlak.
De antwoorden op deze eerste survey zijn een zelfevaluatie zonder dat u hierbij op dit ogenblik verdere uitleg of documenten moet opleveren.
Deze survey verloopt via het FiMiS-platform ('Financial Institutions and Markets Information System').
FiMiS is toegankelijk via https://fimis.fsma.be nadat u zich op geldige wijze heeft geïdentificeerd, hetzij met behulp van een certificaat, hetzij met behulp van uw elektronische identiteitskaart.
Zie voor verdere praktische uitleg de FiMiS User Guide voor deze survey.