DNB: Resultaten sectorbrede uitvraag naar DORA-implementatie
Per 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing. DORA is een belangrijke stap naar een veiliger en veerkrachtiger digitaal financieel landschap. We hebben de voortgang van de implementatie onderzocht door middel van de jaarlijkse sectorbrede uitvraag informatiebeveiliging en gesprekken met individuele instellingen.
In dit nieuwsbericht delen we de belangrijkste resultaten van de uitvraag uit het eerste kwartaal van 2025. Zo blijkt onder meer dat veel instellingen verwachten tot (zeker) eind 2025 nodig hebben om de implementatie van DORA te voltooien.
De grootste groep verzekeraars- en pensioenfondsen rapporteert meer dan 70% van de inspanningen voor de DORA- implementatie te hebben gerealiseerd.
Het merendeel van de instellingen in de verzekerings- en pensioensector (65%) stelt dat zij meer dan 70% van de benodigde inspanningen heeft gerealiseerd om de complete implementatie van DORA te voltooien. Een kleine minderheid (5%) schat in dat zij minder dan de helft van het implementatieplan heeft voltooid. De gerapporteerde implementatievoortgang is hoger voor processen of systemen die ondersteunend zijn aan kritieke of belangrijke functies. Dit is in lijn met eerdere oproepen van DNB om prioriteiten te stellen bij de implementatie.
Tegelijkertijd benadrukt DNB dat DORA inmiddels van toepassing is en de wetgeving dus geïmplementeerd moet zijn. Een voorbehoud geldt voor de technische standaarden die nog niet formeel zijn vastgesteld. Dit heeft uiteraard gevolgen voor de implementatie door financiële instellingen en het toezicht van DNB hierop. Zolang de technische standaarden niet officieel zijn vastgesteld, zal DNB deze niet handhaven en ook niet op een later moment met terugwerkende kracht toepassen. DNB houdt in haar toezicht rekening met de omstandigheden en tijdslijnen waarbinnen de technische standaarden gefinaliseerd zijn.
De meeste instellingen verwachten de rest van dit jaar nog nodig te hebben voor het voltooien van de DORA implementatie
Van de instellingen die gerapporteerd hebben hun DORA-implementatie nog niet in de volle breedte te hebben voltooid, verwacht het merendeel van de instellingen (ca. 55%) daarvoor 6 tot 12 maanden nodig te hebben. Zo'n 15% van de instellingen verwacht meer dan een jaar nodig te hebben.
Restrisico’s zijn niet bij alle instellingen formeel door het bestuur geaccepteerd
Uit de uitvraag blijkt ook dat bij 20% van de instellingen die hun DORA-implementatie nog niet hebben voltooid, de risico’s die hieruit voortvloeien niet (formeel) zijn geaccepteerd door het bestuur. DNB vindt het belangrijk dat het leidinggevend orgaan, conform haar wettelijk taak (DORA artikel 5, lid 2), toezicht houdt op de uitvoering van het ICT-risicobeheer en hiervoor verantwoordelijkheid neemt. We benadrukken het belang dit risico alsnog formeel af te wegen en op de juiste niveaus te accorderen.
Actualiseren van ICT-contracten behoeft aandacht
Bijna 95% van de instellingen rapporteert dat zij hun uitbestedingsbeleid hebben geactualiseerd. Tegelijkertijd antwoordt slechts 34% van de instellingen dat zij alle ICT-contracten die ondersteunend zijn aan een kritieke of belangrijke functie, in lijn hebben gebracht met de DORA-vereisten. Uit de uitvraag en de gevoerde gesprekken blijkt dat de instellingen prioriteit geven aan hun belangrijkste contracten. Het overgrote deel van de instellingen maakt gebruikt van de contractaddenda die het Verbond van Verzekeraars en de Pensioenfederatie samen hebben opgesteld.
Samenvatting
We zien dat er in vergelijking met de vorige implementatiemeting veel progressie is geboekt. Veel instellingen hanteren hierbij een risicogebaseerde aanpak. Uit onze gesprekken, uitvragen en seminars blijkt bovendien dat de aandacht voor DORA onverminderd hoog is. Tegelijkertijd zien we dat een groot deel van de financiële instellingen verwacht nog tot (minimaal) eind 2025 nodig te hebben om DORA volledig te implementeren. Een belangrijk aandachtsgebied is het aanpassen van de ICT-contracten met derde aanbieders in lijn met de DORA vereisten. Ook zien we dat restrisico’s niet altijd zijn geaccepteerd door het bestuur. DNB merkt op dat de implementatie bij enkele instellingen meer aandacht en urgentie behoeft.
