Thomas Cornelis
Senior Manager Risk Advisory
De Digital Operational Resilience Act (DORA) is een EU-regulering die is ontworpen om de beveiliging en veerkracht in de financiële sector te versterken. Volledige compliance kan een grote uitdaging zijn, vooral voor kleinere organisaties. Een pragmatische, risicogebaseerde aanpak is cruciaal om je risico’s onder controle te houden en stapsgewijs naar volledige compliance toe te werken.
Doelstellingen van DORA
DORA wil een geharmoniseerd kader bieden voor het beheer van ICT-risico’s in de hele EU. Om de impact van potentiële dreigingen te minimaliseren, moeten financiële instellingen en hun externe partners:
sterke beveiligingsmaatregelen implementeren,
regelmatig testen uitvoeren,
doeltreffende gecoördineerde respons- en herstelplannen ontwikkelen.
Prioritering en implementatie
Door de grote werklast die DORA oplegt aan financiële instellingen, is het belangrijk om acties te prioriteren en een specifiek projectplan op te stellen.
Een van de eerste stappen is dat het hoger management het ICT-risicobeheer duidelijk definieert en goedkeurt, aangezien dit de basis vormt van de ICT-risicobeheermethodologie en de implementatie van alle andere thema’s richting geeft. Zij moeten ook prioriteiten en acties vaststellen om een risicogebaseerd implementatietraject naar DORA-compliance te garanderen.
Compliance-tijdlijn en impact
DORA is volledig van kracht vanaf 17 januari 2025. Vanaf dat moment kan niet-naleving leiden tot (zware) boetes. Het is echter nu al duidelijk dat niet alle organisaties tegen deze deadline volledig compliant zullen zijn. Als jouw organisatie moeite heeft om de deadline te halen, is het van cruciaal belang om je inspanningen en geboekte vooruitgang te documenteren en aan te tonen. Focus vooral op de belangrijkste activiteiten.
Onze BDO-experts kennen de prioriteiten van de toezichthouders en helpen je graag bij het opstellen van een risicogebaseerde roadmap op maat van jouw organisatie.