AFM biedt 'DORA-checklist' voor financiële ondernemingen
Financiële ondernemingen moeten vanaf 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA), een Europese verordening om zulke organisaties weerbaarder te maken tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) biedt hiervoor een checklist.
De AFM heeft, op basis van eerdere uitvragen rondom IT-beheersmaatregelen, onderzocht hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke 'DORA-thema's'.
Organisaties kunnen de bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren. Dat meldt de toezichthouder in de eigen nieuwsbrief.
Beheersmaatregelen nog vaak onvoldoende
De AFM monitort doorlopend de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel hiervan zijn onderzoeken waarin ondernemingen zelf de volwassenheid van hun
IT-beheersmaatregelen een score geven. De AFM heeft een koppeling gemaakt tussen die scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA.
DORA heeft als doel dat financiële ondernemingen ICT-risico's beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen en ICT-verstoringen. De scores van de AFM laten zien dat beheersmaatregelen vaak niet op voldoende niveau zijn en dat nog aanzienlijk werk verzet moet worden, voordat DORA van toepassing wordt in januari 2025.
Zo voldeed 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen niet volledig aan het verwachte niveau, als het gaat om ICT-risicobeheer. Ook zijn vaak verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders.
DORA-checklist
De meeste organisaties scoorden wel voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.
Het is belangrijk dat ondernemingen tijdig weten waar ze staan op het gebied van digitale weerbaarheid en welke stappen nog moeten worden genomen om aan de eisen in DORA te voldoen, aldus de AFM. De DORA-checklist kan daarbij helpen.
Vanwege de omvang van DORA is de checklist niet volledig, benadrukt de toezichthouder. Meer informatie is beschikbaar via de website van de AFM.
Gerelateerd
Nederlandse banken verbeteren beveiliging, na waarschuwingen over AI-model Mythos
Nederlandse banken geven gehoor aan de waarschuwingen van toezichthouders over AI-model Mythos. Banken in de eurozone moeten van de Europese Centrale Bank (ECB)...
Bedrijf achter Canvas sluit akkoord met hackers
Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, heeft een akkoord gesloten met de hackers die recent de software van het bedrijf wisten binnen...
Universiteiten getroffen door cyberaanval, VU koppelt systemen los
Zeven Nederlandse universiteiten zijn geraakt door een cyberaanval op Instructure, het bedrijf achter onderwijssoftware Canvas. De VU in Amsterdam heeft de eigen...
Cyberincidenten tonen kwetsbaarheid keten en belang van communicatie
Bij cyberincidenten moet sneller en transparanter worden gecommuniceerd. Ook is er meer overleg nodig tussen organisaties in sectoren die een sterke ketenafhankelijkheid...
Banken roepen sociale media op tot meer actie tegen onlinefraude
Banken in Nederland roepen big tech en socialmediaplatforms op om meer te doen tegen onlinefraude. Volgens de Nederlandse Vereniging van Banken (NVB) is fraudebestrijding...