AFM biedt 'DORA-checklist' voor financiële ondernemingen
Financiële ondernemingen moeten vanaf 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA), een Europese verordening om zulke organisaties weerbaarder te maken tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) biedt hiervoor een checklist.
De AFM heeft, op basis van eerdere uitvragen rondom IT-beheersmaatregelen, onderzocht hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke 'DORA-thema's'.
Organisaties kunnen de bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren. Dat meldt de toezichthouder in de eigen nieuwsbrief.
Beheersmaatregelen nog vaak onvoldoende
De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel hiervan zijn onderzoeken waarin ondernemingen zelf de volwassenheid van hun
IT-beheersmaatregelen een score geven. De AFM heeft een koppeling gemaakt tussen die scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA.
DORA heeft als doel dat financiële ondernemingen ICT-risico's beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen en ICT-verstoringen. De scores van de AFM laten zien dat beheersmaatregelen vaak niet op voldoende niveau zijn en dat nog aanzienlijk werk verzet moet worden, voordat DORA van toepassing wordt in januari 2025.
Zo voldeed 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen niet volledig aan het verwachte niveau, als het gaat om ICT-risicobeheer. Ook zijn vaak verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders.
DORA-checklist
De meeste organisaties scoorden wel voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.
Het is belangrijk dat ondernemingen tijdig weten waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen, aldus de AFM. De DORA-checklist kan daarbij helpen.
Vanwege de omvang van DORA is de checklist niet volledig, benadrukt de toezichthouder. Meer informatie is beschikbaar via de website van de AFM.
Gerelateerd
Maatregelen na hack bij ministerie van Financiën raken onder meer schatkistbankieren
Ingestelde maatregelen op het ministerie van Financiën, na een digitale inbraak, raken onder meer zo'n 1.600 publieke instellingen die hun overtollige gelden bij...
Megalek bij Brits handelsregister, miljoenen bedrijven kwetsbaar voor valse deponeringen
Gedurende vijf maanden zijn alle in het Britse handelsregister geregistreerde vennootschappen kwetsbaar geweest voor manipulatie van hun bedrijfsgegevens. Het datalek...
NIS2: cybersecurity vraagt om beoordeling van accountants
Met de invoering van de Cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn die naar verwachting dit jaar van kracht wordt, is cybersecurity...
ADR wint innovatieprijs Financiën voor framework digitale weerbaarheid
De Auditdienst Rijk (ADR) heeft met de ontwikkeling van een Cbw (NIS2) Control Framework voor digitale weerbaarheid de Innovatieprijs gewonnen, tijdens een Innovatieprijzenparade...
Openbaar Ministerie onderzoekt grote cyberaanval bij Odido
Het Openbaar Ministerie onderzoekt de grote cyberaanval bij telecombedrijf Odido, waarbij miljoenen klantgegevens zijn gestolen. Het gaat om een strafrechtelijk...