DORA: 17 januari 2025 nadert sneller dan u denkt

17 januari 2025, de datum waarop de Digital Operational Resilience Act (DORA) van toepassing is, nadert snel. Instellingen hebben nog enkele maanden om DORA te implementeren. DNB heeft in haar jaarlijkse uitvraag gepolst hoe de implementatie van deze regelgeving vordert bij instellingen. Uit de resultaten blijkt dat er nog veel werk verzet moet worden in de resterende korte implementatieperiode.  

Wat zijn de belangrijkste uitkomsten?

1. Veel instellingen moeten nog starten met (delen van) de gap-analyse

Uit de uitkomsten van de vragenlijst blijkt dat veel instellingen nog druk zijn met het uitvoeren van een gap-analyse - of van plan zijn om dit te gaan doen - op zowel de DORA verordening als de onderliggende regelgeving (RTS/ITS). DNB onderschrijft het belang van een gedegen gap-analyse ter voorbereiding op een tijdige implementatie van DORA.

Tegelijkertijd raadt DNB instellingen aan om met een passende urgentie deze gap-analyse af te ronden. Een gap-analyse geeft namelijk inzichten in welke stappen nog moeten worden ondernomen met betrekking tot de aanpassing van beleid, processen, controlemaatregelen en contracten met dienstverleners. De implementatie van de gesignaleerde tekortkomingen moet niet worden onderschat, want in de praktijk blijkt dat sommige aanpassingen mogelijk veel doorlooptijd vergen.

1. Een overkoepelend overzicht ontbreekt

Voorbeelden hiervan zijn het vereiste informatieregister, het ‘DORA compliant’ maken van de (registratie van) contracten met kritieke en niet kritieke ICT-dienstverleners en de monitoring van gehele uitbestedingsketens en de rapportages hierover. Om de benodigde informatie over ICT-contracten in het informatieregister vast te kunnen leggen, is data benodigd uit verschillende bestaande administratieve systemen. Deze is vaak niet centraal in de organisatie belegd. In veel gevallen zijn systeemaanpassingen noodzakelijk om tot één centrale vastlegging te komen.

[....]