De Wet Digitale Operationele Weerbaarheid (DORA) moet vanaf 17 januari 2025 worden toegepast. De definitieve technische details zijn echter nog niet bekend voor de deadline. GDV roept op tot duidelijkheid om aan de uitgebreide eisen te kunnen voldoen.
Financiële ondernemingen moeten de nieuwe regels van de Wet Digitale Operationele Weerbaarheid (DORA) toepassen om hun ICT-systemen beter te beschermen tegen cyberaanvallen en operationele verstoringen. De verzekeringssector denkt voorbereid te zijn op de nieuwe EU-vereisten voor cyberverdediging, maar roept ook op tot meer informatie.“Duitse verzekeraars hebben hun processen in zeer korte tijd aangepast aan de bekende eisen. Sommige kwesties moeten echter nog worden opgehelderd voor een optimale implementatie van de voorschriften, zoals het opstellen van contracten met IT-dienstverleners,” benadrukt Jörg Asmussen, directeur van de Duitse Vereniging van Verzekeraars (GDV).
Gebrek aan details over risico’s van derden
Met DORA wil de Europese Unie de digitale weerbaarheid van financiële dienstverleners en verzekeraars tegen cyberdreigingen versterken. Daartoe stelt de verordening uitgebreide eisen aan de informatie- en communicatietechnologieën (ICT) van bedrijven.
Een belangrijk punt is het managen van risico’s van derden. Financiële organisaties moeten zowel interne ICT-risico’s beheren als rekening houden met risico’s van externe leveranciers en hun onderaannemers. “Voor contractbeheer met dienstverleners moeten de uitstaande eisen voor onderaanneming snel worden afgerond,” zegt Asmussen.
Meer transparantie bij het monitoren van grote ICT-dienstverleners
GDV is ook van mening dat het toezicht op zogenaamde kritieke ICT-dienstverleners, die van bijzonder belang zijn voor de financiële sector, efficiënter kan worden georganiseerd. Terwijl financiële bedrijven in het verleden verantwoordelijk waren voor het toezicht op hen, zouden de Europese toezichthouders in de toekomst ook informatie-, controle- en auditrechten moeten uitoefenen.“Om de transparantie te vergroten, zou het zinvol zijn om de resultaten van het officiële toezicht ook beschikbaar te stellen aan de betrokken financiële ondernemingen”, benadrukt Asmussen.