DORA – nieuwe Europese regels voor IT en cloud in de financiële sector

EC Europese CommissieEen jaar geleden vroeg de Europese Commissie om input voor plannen de financiële sector veiliger en robuuster te maken en dan vooral het IT en cloud gebruik. Dat proces is nu enkele stappen verder en nog steeds is de persaandacht minimaal. Dat is onterecht, want marktpartijen moeten toch echt weten dat er iets gaat veranderen.

Eind september heeft de EC groen licht gegeven voor een groot aantal voorstellen die allemaal betrekking hebben op de digitalisering van de financiële sector. Het belang van dat besluit kan makkelijk worden onderschat. Onterecht, want hier zijn de fundamenten gelegd voor de manier waarop het geldverkeer – in de meest brede zin – de komende jaren kan worden veranderd.

Grote impact

Het klinkt als een saai onderwerp: banken en IT en cloud gebruik. Toch is het iets waarvan de impact niet mag worden onderschat. Een van de redenen van het Europese pakket van maatregelen is dan ook dat de toegenomen digitalisering leidt tot risico’s.

Met de Digital Operational Resilience Act – DORA – krijgt de EU de middelen te komen voor een incident response centrum voor de hele financiële sector. Dat centrum moet zorgen voor monitoring en aansturing. Dat zoiets hard nodig is bleek eerder in 2020. Een EU rapport stelde vast dan een bepaald soort cyber incident dusdanig kan escaleren dat een omvangrijke liquiditeitscrisis ontstaat. Dan kunnen bedrijven, overheden en burgers niet meer aan geld komen, geen betalingen verrichten. De chaos is dan groot en de kans op incidenten onaanvaardbaar.

Vervolgstappen

De plannen voor DORA zullen de komende periode verder worden geconcretiseerd. In de eerste plaats is dat iets dat de financiële sector gevolgd moet worden. Voor hen is het immers belangrijk te weten welke regels dwingend zijn en welke meer als een advies gelden.

Vervolgens schuift de impact van DORA dan onvermijdelijk door naar de volgende laag in de keten. Dat zijn de aanbieders van IT, cloud diensten en dergelijke. Zij zullen te maken gaan krijgen met meer controles, audits en druk op de SLA’s.

Actualiteit

In het licht van de recente problemen met onder andere Citrix en de huidige met SolarWinds ligt het voor de hand dat de scope van de regels en “adviezen” nog verder gaan worden aangescherpt. De MSP of System Integrator met klanten in deze brede sector doet er daarom goed aan de ontwikkelingen rond DORA te volgen.

Aanvullende informatie – definitie financiële sector

Onder de financiële sector verstaat men voor DORA niet alleen banken en verzekeraars. Intermediairs, audit firma’s en zelfs platformen voor crowdfunding worden er ook toe gerekend.

Quote uit het persbericht van de EC van 24 september 2020

“Today’s proposed ‘Digital Operational Resilience Act’ (DORA) aims to ensure that all participants in the financial system have the necessary safeguards in place to mitigate cyber-attacks and other risks. The proposed legislation will require all firms to ensure that they can withstand all types of Information and Communication Technology (ICT) – related disruptions and threats. Today’s proposal also introduces an oversight framework for ICT providers, such as cloud computing service providers. (link)”

Mobiele versie afsluiten