Met DORA moeten financiële instellingen beter weerbaar kunnen worden tegen cyberdreigingen. Sinds afgelopen vrijdag 17 januari is deze verordening officieel van kracht in de lidstaten van de Europese Unie. Een mooi moment om eens uitgebreid in te gaan om het hoe en waarom van dit stuk wetgeving.

We bespreken DORA met Rolf Wijma. Hij is Manager Cyber Strategy bij Deloitte en heeft de ontwikkeling en de uitrol van de nieuwe Europese verordening van dichtbij gevolgd. DORA komt bovenop andere wetgeving zoals NIS en NIS2. DORA is ook echt een ander beestje dan bijvoorbeeld NIS2, al was het maar omdat er van DORA door lidstaten geen eigen wetgeving gemaakt hoeft te worden. De rechten en plichten gelden voor alle financiële instellingen in de Europese Unie.

DORA is vanuit Nederlands perspectief in ieder geval grotendeels niet enorm nieuw, horen we van Wijma. De Nederlandsche Bank (DNB) had al langere tijd een lijst met best practices waar de instellingen zich aan moesten houden. Die lijst staat feitelijk ook in DORA. 

Er is echter wel een nieuwe component, die toch de nodige extra vragen en uitdagingen met zich meebrengt. DORA heeft ook bepalingen rondom derde partijen die financiële instellingen gebruiken. Daar worden ook bepaalde zaken van verwacht en geëist. Dat is nieuw en zal de meeste aanpassingen en actie vereisen van de instellingen waar het betrekking op heeft. Het heeft daarnaast ook het effect van een olievlek. Dit betekent immers ook dat financiële instellingen eisen moeten gaan stellen aan derde partijen buiten de EU.

Is DORA onderaan de streep een positieve ontwikkeling voor de financiële sector? Kunnen die extra regels er nog wel bij daar? En laat DORA ook alvast zien hoe de toekomst van de NIS-regelgeving eruitziet? Deze en andere vragen stellen we aan Wijma in deze nieuwste en uitermate leerzame aflevering van Techzine Talks.