Voor organisaties in de financiële dienstverlening is het naleven van regelgeving een cruciaal onderdeel van bedrijfsvoering. Twee belangrijke regelgevingskaders die financiële instellingen moeten begrijpen en naleven, zijn de EBA-richtlijnen en de DORA. Hoewel beide regelgevingen gericht zijn op het verbeteren van de operationele veerkracht en beheren van cyberrisico’s, zijn er altijd belangrijke verschillen die goed zijn om te begrijpen als organisatie. En wij zouden geen IT-organisatie zijn als we dit niet voor je zouden uitpluizen. We sluiten af met een advies over hoe financiële instellingen zich kunnen voorbereiden op het naleven van alle richtlijnen. Â
Wat zijn de EBA-richtlijnen?
De EBA – de Europese Bankautoriteit – is een EU-autoriteit die toezicht houdt op de Europese bankensector. Dit doen zij afhankelijk, maar ze leggen verantwoording af aan de Raad, de Commissie en het Europees Parlement. De EBA-richtlijnen zijn ontworpen om een afgestemd kader te bieden voor outsourcing binnen de financiële sector. Deze richtlijnen, die sinds 30 september 2019 van kracht zijn, richten zich specifiek op het uitbesteden van belangrijke functies of activiteiten. De belangrijkste aspecten van de EBA-richtlijnen zijn onder andere:
- Nalevings- en rapportageverplichtingen. Financiële organisaties moeten hun nalevingsstatus rapporteren aan de EBA;
- Governance en risicobeheer. Organisaties moeten volledig gedicht risicobeheer hebben, wat betekent dat alle onderdelen van de organisatie daarin zijn opgenomen. Inclusief risico’s van derden en cyberrisico’s;
- Uitbestedingsbeleid. Instellingen moeten een schriftelijk uitbestedingsbeleid hebben dat regelmatig wordt herzien en bijgewerkt;
- Bedrijfscontinuïteit. Financiële organisaties moeten passende bedrijfscontinuïteitsplannen hebben voor uitbestede functies. Deze moeten ook periodiek worden getest.
Wat is DORA?
DORA, of de Digital Operational Resilience Act, is een wetgevend kader dat zich richt zich op het realiseren van een sterke IT-infrastructuur. Dit geldt voor financiële organisaties in de Europese Unie. Concreet gezien bestaat het uit een integrale aanpak voor het beheer van de risico’s die de digitale wereld met zich meebrengt. Om deze beveiliging te waarborgen, zijn financiële organisaties verplicht om zich aan de nieuwe regels te houden. Dit gaat in 2025 in. Vóór die tijd moeten aan alle vereisten van de wetgeving en reguleringsnormen worden voldaan. De belangrijkste aspecten van DORA zijn onder andere:
- Risicobeheer en beveiliging. DORA benadrukt het belang van een volledig doordacht plan van aanpak en uitwerking voor risicobeheer. Hierin moeten alle aspecten van de digitale operaties van een organisatie worden opgenomen;
- Incidentrapportage. Financiële instellingen moeten een duidelijk en efficiënt proces hebben voor het melden van incidenten. Inclusief cyberaanvallen en andere inbreuken op veiligheid;
- Bedrijfscontinuïteit en veerkracht. Organisaties moeten sterke bedrijfscontinuïteitsplannen ontwikkelen. Deze plannen moeten ook worden getest om ervoor te zorgen dat kernactiviteiten kunnen blijven draaien. Zelfs in het geval van een ernstige verstoring als een datalek of cyberaanval.
EBA-richtlijnen versus DORA
Eerder vergeleken we DORA met NIS2. Daaruit was de conclusie dat de DORA-wetgeving voor Europese, financiële organisaties dominant is. NIS2 is gericht op meerdere sectoren, waardoor de gefocuste richtlijnen de overhand hebben.
Hoewel ook de EBA-richtlijnen – net als DORA – gericht zijn op het verbeteren van de operationele veerkracht en het risicobeheer van financiële organisaties, zijn er tóch enkele belangrijke verschillen te benoemen:
- Toepassingsgebied. De EBA-richtlijnen richten zich specifiek op de uitbesteding van belangrijke functies binnen de financiële sector. DORA daarentegen heeft een breder toepassingsgebied. Het richt zich op alle digitale- en datadiensten die op een doorlopende basis worden geleverd via IT-systemen;
- Focus. De EBA-richtlijnen leggen de nadruk op interne governance en risicobeheer bij uitbesteding, terwijl DORA zich richt op het minimaliseren van de risico’s die komen kijken bij digitale activiteiten en het waarborgen van een sterke IT-infrastructuur;
- Sectoren en diensten. DORA gaat over de gehele financiële sector, terwijl de EBA-richtlijnen specifiek gelden voor outsourcing in de financiële sector.
Hoe bereid je je voor op deze richtlijnen?
Concreet betekent voor de DORA dat organisaties op de korte termijn volledig moeten voldoen aan de richtlijnen die daar zijn opgesteld. We kunnen ons voorstellen dat je door alle wetgevingen het bos niet meer ziet. Het naleven van regelgevingskaders kan complex zijn en er komt veel bij kijken. Er zijn een aantal stappen die je als financiële organisatie kunt nemen om snel te kunnen voldoen aan de gestelde normen en eisen:
Besteed tijd aan het inlezen in de wetgeving
Het kan pittige stof zijn. We weten het. Maar je wil weten waar je op voorbereid moet zijn en waar je als organisatie precies aan moet voldoen. Neem daarom de tijd om je in te lezen in de DORA- en/of EBA-wetgeving en de regels die voor jouw organisatie gelden.
Het uitvoeren van een grondige evaluatie
Een goede voorbereiding is het halve werk. Start met een uitgebreide evaluatie van je huidige systemen en processen. Zo kan je bepalen waar verbeteringen nodig zijn om aan zowel aan de EBA-richtlijnen als DORA te voldoen.
Implementeer een duidelijk kader voor risicobeheer
We hebben het al een aantal keer benoemd: de invulling van risicobeheer moet alle onderdelen van je organisatie aanraken, zodat je daarmee zo veel mogelijk risico’s van digitaal werken tackelt. Denk daarbij ook aan de risico’s die leveranciers, onderaannemers of derde partijen met zich mee kunnen brengen.
Bedrijfscontinuïteitsplannen ontwikkelen en testen
Zorg ervoor dat je goed uitgedachte plannen hebt voor bedrijfscontinuïteit. Test deze regelmatig om de effectiviteit vast te houden.
Verbeter je indicentrapportage
Implementeer een duidelijk en efficiënt proces voor het melden van incidenten om snel te kunnen reageren en herstel uit te kunnen voeren.
Conclusie
Al met al is het voor financiële organisaties belangrijk om vóór 1 januari 2025 te voldoen aan de richtlijnen van de Europese DORA-wetgeving. Deze richtlijn is namelijk dominant voor finance. Wanneer jouw organisatie belangrijke activiteiten uitbesteedt aan externe partijen, is het ook van belang om te voldoen aan de wetgevingskaders van EBA. Zie het niet als een verplichting, maar een belangrijke trigger om je organisatie te beschermen tegen cyberrisico’s. Zo ben je ervan verzekerd dat je organisatie kan blijven draaien en klanten altijd goed van dienst kunt zijn.
We kunnen ons voorstellen dat je na dit blog alsnog veel vragen hebt, want er komt ontzettend veel bij kijken. Wij helpen je graag vanuit onze ervaring met het uitvoeren van EBA- of DORA-assessments.
Plan makkelijk een afspraak in met Dave of neem contact met ons op.
12/09/2024
Meer innformatie?
Wil je meer weten over EBA-richtlijnen versus DORA voor financiële organisaties, neem dan contact met ons op.