AFM: DORA verschuift van compliance naar aantoonbare digitale weerbaarheid
Met de publicatie van het rapport DORA in Practice laat de Autoriteit Financiële Markten (AFM) zien dat de volgende fase van DORA is aangebroken. Nu de Europese verordening volledig van kracht is, verschuift de aandacht van het opstellen van beleid naar de vraag of organisaties hun ICT-risico's daadwerkelijk beheersen.
De toezichthouder constateert dat veel financiële instellingen hun beleidskaders inmiddels op orde hebben, maar dat de praktische uitvoering nog tekortschiet. Zo blijken gap assessments regelmatig te globaal, sluiten beheersmaatregelen niet altijd volledig aan op de DORA-eisen en is de scheiding tussen beleid, procedures en governance niet overal duidelijk uitgewerkt.
Volgens de AFM vraagt DORA daarom om een geïntegreerde aanpak waarin governance, risicomanagement en cybersecurity nauw samenwerken. Voor risicomanagers betekent dit dat gap assessments een doorlopend stuurinstrument worden in plaats van een eenmalige compliance-oefening. Voor CISO's verschuift de aandacht van het implementeren van technische maatregelen naar het aantoonbaar effectief houden van die beheersmaatregelen.
Ook intragroep-afspraken en de consistentie van beveiligingsstandaarden krijgen nadrukkelijk aandacht. De AFM maakt duidelijk dat toekomstige toezichtsonderzoeken zich vooral zullen richten op de operationele werking van controls, onder meer via monitoring, scenario-oefeningen en incidentanalyses.
Daarmee verschuift DORA definitief van een implementatieproject naar een continu proces van aantoonbare digitale weerbaarheid, waarbij risicomanagers en CISO's gezamenlijk verantwoordelijk zijn voor de effectiviteit van het ICT-risicomanagement.
Dit is een samenvatting van het volledige artikel op Riskworld.nl.