DORA-update: Beheer, Classificatie en Rapportage van ICT-gerelateerde Incid

De Autoriteit Financiële Markten (AFM) presenteert de vierde update over de Digital Operational Resilience Act (DORA). Deze update richt zich op ICT-gerelateerde incidenten en legt uit hoe deze effectief gedetecteerd, afgehandeld en gerapporteerd kunnen worden om de impact te minimaliseren. Sinds januari 2023 is DORA van kracht, met als doel financiële instellingen beter te wapenen tegen IT-risico’s en cyberdreigingen.

Beheer van ICT-gerelateerde Incidenten
Het effectief beheren van ICT-gerelateerde incidenten vereist een robuust proces voor detectie, afhandeling en rapportage. Dit proces moet incidenten consistent classificeren en registreren, en ernstige incidenten en significante cyberdreigingen rapporteren aan de toezichthouder. Een goed beheer draagt bij aan de digitale weerbaarheid van organisaties.

In deze DORA-update worden de volgende aspecten behandeld:

• Beheer van ICT-incidenten
• Classificatie en registratie van ICT-incidenten
• Rapportage van ernstige ICT-incidenten en significante cyberdreigingen

De vereisten voor het beheer van ICT-gerelateerde incidenten zijn vastgelegd in hoofdstuk III (artikelen 17-23) van de verordening. Daarnaast worden specifieke vereisten verder uitgewerkt in de RTS voor artikelen 15, 18(3), 20(a) en de ITS voor artikel 20(b).

Toezicht op de Verordening
Organisaties hebben tot januari 2025 de tijd om aan de DORA-regelgeving te voldoen. Na deze datum zullen de AFM en DNB toezicht houden op de naleving van de verordening. Voor sommige organisaties zijn bepaalde DORA-gerelateerde vereisten al van toepassing onder bestaande wet- en regelgeving.