search_api_autocomplete
Home

Lancering van een tweede DORA Awareness Survey

Persbericht
DORA: Digital Operational Resilience Act

De verplichtingen die de Digital Operational Resilience Act (‘DORA’) van de Europese Unie invoert zullen op 17 januari 2025 in werking treden.

In November vorig jaar lanceerde de FSMA een eerste survey om financiële entiteiten de mogelijkheid te bieden een zelfevaluatie uit te voeren van de stand van hun voorbereidingen op de DORA-vereisten. DORA heeft als doel “uniforme vereisten vast te stellen met betrekking tot de beveiliging van netwerk- en informatiesystemen ter ondersteuning van bedrijfsprocessen van financiële entiteiten”. DORA beoogt m.a.w. dat de financiële entiteiten hun ICT-risico’s beter beheersen waardoor ze weerbaarder worden in geval van ICT-incidenten en cyberdreigingen. 

Zoals aangehaald in de persmededeling van de FSMA van 2 februari 2024, was het deelnemingspercentage van sommige sectoren laag wat leek te wijzen op een gebrek aan kennis of aandacht voor de implementatie van DORA bij de betrokken entiteiten. Deze bevinding was zorgwekkend gezien de snel naderende inwerkingtreding van DORA.

Abstractie makend van deze zorgwekkende bevinding, toonden de resultaten van deze survey eveneens aan dat financiële entiteiten die wel hadden deelgenomen aan de survey over het algemeen nog niet alle nodige maatregelen hadden genomen om zich op de inwerkingtreding van DORA voor te bereiden. Zo bleek dat: 

  • de deelnemende entiteiten over het algemeen over een goed gedocumenteerd ICT-risicobeheerkader beschikten, 
  • de meerderheid van de deelnemende entiteiten een gedocumenteerde procedure voor beheer van ICT-gerelateerde incidenten heeft, 
  • het testen van de digitale operationele weerbaarheid voor verbetering vatbaar is, 
  • ook risico’s verbonden aan het beroep doen op externe aanbieders van ICT-diensten beter gecontroleerd konden worden.

De FSMA lanceert nu een tweede awareness survey m.b.t. DORA zodat zowel zijzelf als de entiteiten onder haar toezicht een beter inzicht krijgen in de mate van implementatie van de verschillende verplichtingen van DORA en hoe deze implementatie geëvolueerd is sinds de vorige bevraging. 

Indien dit nog niet het geval zou zijn, hoopt de FSMA dat deze survey de entiteiten zal overtuigen van het belang van het naleven van de vereisten van DORA. De naleving van DORA helpt de entiteit digitaal weerbaar te maken, om op die wijze beter voorbereid te zijn om te reageren op de ICT-risico’s die in de toekomst enkel maar zullen toenemen. Zonder een adequaat en effectief risicobeheer, kunnen deze ICT-risico’s een reële bedreiging vormen voor het voortbestaan van de entiteit.

In vergelijking met de eerste survey, is deze tweede veel uitgebreider en overloopt zij bijna exhaustief alle verschillende artikelen van de regelgeving die van toepassing zijn op de onderworpen entiteiten. Dit laat toe aan de FSMA om te peilen naar het implementatieniveau, maar biedt – belangrijker nog – aan de onderworpen entiteiten een handig hulpmiddel om een gap analyse uit te voeren tussen de vereisten van DORA en de actuele implementatie hiervan binnen de financiële entiteit. Zo kan deze survey dienen als een hulpmiddel om te identificeren welke vereisten op gebied van ICT-risicobeheer, incident management, digitale weerbaarheidstesten en beheer van derde partij aanbieders van ICT-diensten, nog georganiseerd, ontwikkeld en geïmplementeerd dienen te worden tijdens de laatste maanden voor DORA definitief in werking zal treden.

Deze survey tracht, in de mate van het mogelijke, rekening te houden met de proportionaliteit die vervat zit in het reglement. Zo zullen, enerzijds, bij entiteiten die onderworpen zijn aan het vereenvoudigd kader voor ICT-risicobeheer  enkel de voor hen relevante vragen verschijnen. Anderzijds zullen voor micro-ondernemingen enkel de vragen getoond worden die van toepassing zijn indien de entiteit onder de voorwaarden van een micro-onderneming[1] valt.

De FSMA raadt de financiële entiteiten ten zeerste aan bijgaande survey naar beste vermogen en volgens de huidige realiteit van de entiteit in te vullen. Aldus krijgt de entiteit een eerlijk beeld van aan welke vereisten reeds zijn voldaan om in overeenstemming te zijn met de bepalingen van DORA, en voor welke vereisten er nog verbeterpunten zijn. 

Hoewel het invullen van deze survey op vrijwillige basis is, hoopt de FSMA toch dat de financiële entiteiten massaal zullen deelnemen. Op die manier kan de FSMA een vollediger beeld krijgen van de algemene status van de implementatie van DORA. Dankzij een analyse (op een anonieme basis) van de antwoorden, kan de FSMA de punten ter verbetering identificeren en tijdens de laatste maanden voor de inwerkingtreding van DORA, naast het al beschikbare pedagogisch materiaal, nog extra en meer punctuele ondersteuning aanbieden. 

 

***

De antwoorden op deze tweede survey blijven een zelfevaluatie zonder dat de financiële entiteiten hierbij op dit ogenblik verdere uitleg of documenten moeten opleveren. De resultaten zullen op een anonieme basis behandeld worden en zullen geenszins worden aangewend door de FSMA in het kader van haar toezichtsactiviteiten. Samen met het pedagogisch materiaal dat op haar website ter beschikking staat dient deze voornamelijk gezien te worden als een begeleidend initiatief ten opzichte van de onderworpen entiteiten. Verdere surveys, die na de inwerkingtreding van DORA zouden plaatsvinden, zullen wel een verplicht karakter hebben met als doel de ondersteuning van activiteiten die verband houden met controle. 

De huidige survey verloopt via het FiMiS-platform ("Financial Institutions and Markets Information System").

De toegang tot FiMiS (https://fimis.fsma.be) vereist een geldige identificatie, hetzij met behulp van een certificaat, hetzij met behulp van de elektronische identiteitskaart.

Zie voor verdere praktische uitleg de FiMiS User Guide voor deze survey.


 


[1] Minder dan 10 FTE en een jaaromzet of balanstotaal van minder dan € 2 miljoen