DORA

De Digital Operational Resilience Act (DORA) van de Europese Unie nadert de eindstreep. Deze Europese Verordening, die deel uitmaakt van het bredere "Digital Finance Package”, zal aanzienlijke gevolgen hebben voor financiële dienstverleners. DORA heeft tot doel een Europese aanpak te ontwikkelen die technologische ontwikkeling bevordert en zorgt voor financiële stabiliteit en consumentenbescherming. De regelgeving is van toepassing op bedrijven en organisaties die actief zijn in de financiële sector en op providers die ICT-gerelateerde kritische diensten leveren, zoals cloudplatforms.

​​​​​​​​​​​​​​Waarom DORA ?

Vanwege het steeds groter wordende risico op cyberaanvallen wil de Europe Unie met DORA de IT-beveiliging van financiële instellingen zoals banken, verzekeraars en beleggingsondernemingen versterken. DORA wil ervoor zorgen dat de Europese financiële sector kan blijven opereren in geval van ernstige operationele verstoringen.

Wat betekent dit voor verzekeraars?

Verzekeraars zullen ervoor moeten zorgen dat ze kunnen weerstaan aan ICT- en cybergerelateerde risico’s (weerstaan, erop reageren en herstellen). Ze zullen hun IT-framework en -governance hiervoor moeten aanpassen

Concrete impact voor verzekeraars en hun ICT providers

  • Testen van digitale operationele weerbaarheid

Er komen gestandaardiseerde EU-normen zoals  kwetsbaarheids- en  netwerkbeveiligingsbeoordelingen, gap-analyses en testen van softwareoplossingen.

  • Risicomanagement

Nieuwe regels om ICT-risico’s op een consistente en betrouwbare manier te kunnen identificeren en beperken zullen ingevoerd worden. Ook komen er er nieuwe vereisten voor interne governance en controle van dit risicomanagement.

  • Rapportage en beheer van ICT-incidenten

Financiële ondernemingen zullen systemen moeten ontwerpen om significante ICT-incidenten te monitoren, te identificeren en te rapporteren aan de bevoegde autoriteiten.

  • Het delen van informatie​​​​​​​

DORA moedigt financiële ondernemingen aan om cyberbeveiligingsinformatie en inlichtingen te delen met ondernemingen in andere lidstaten.

  • Risicobeheer door derden

DORA bepaalt dat externe ICT-providers van verzekeraars, waaronder cloudserviceproviders, worden gereguleerd door een van de Europese toezichthoudende autoriteiten (ESA's). Die krijgen de bevoegdheid om informatie op te vragen, aanbevelingen en verzoeken te doen, inspecties uit te voeren en zelfs sancties op te leggen voor niet-naleving van de nieuwe EU-regels over risicobeheer en operationele weerbaarheid. Financiële ondernemingen zullen ook alle potentiële risico's van hun externe ICT-dienstverleners moeten beoordelen en documenteren en ervoor moeten zorgen dat hun contracten met dergelijke ondernemingen hun wettelijke verplichtingen onder de nieuwe wetgeving specificeren.

Timing

DORA zal naar verwachting in het eerste kwartaal van 2023 in werking treden en begin 2025 volledig van toepassing zijn, na een implementatieperiode van twee jaar. EIOPA zal deze regelgeving nog verder verfijnen via zijn “technische standaarden”, maar het is nu al duidelijk dat verzekeringsondernemingen grote veranderingen in hun organisatie en manier van werken zullen moeten doorvoeren en dit in een vrij korte tijdsspanne. Het is dan ook aan te raden om de voorbereidingen zo snel mogelijk op te starten. 

U vindt de volledige tekst van DORA op EUR-lex, een website van de Europese Unie.

Gepubliceerd op 22/11/2022

Schrijf je in op onze nieuwsbrief !

Je ontvangt dan exclusieve artikels die je op de hoogte houden van de actualiteit in de vezekeringswereld.