Wanneer je de naam DORA hoort denk je wellicht aan de koekjes die menig oma in de tassen van haar kleinkinderen stopt, zelfs wanneer deze de stemgerechtigde leeftijd reeds hebben bereikt. Iets wat die kleinkinderen zich graag laten aanleunen – sommige zaken veranderen nooit.

De Europese Commissie wil een slag slaan met DORA. Op 24 september 2020 heeft de Europese Commissie haar draft Digital Operational Resilience Act gepubliceerd. Deze omvat onder meer een verordening en heeft dus hetzelfde wetgevende karakter als de AVG.

Het doel van DORA is om in de Europese bancaire sector een standaard op het gebied van ICT-weerbaarheid en risicomanagement te introduceren. Belangrijke onderdelen bevatten harmonisatie van ICT-risicomanagement en ICT-incidentclassificatie en melding. DORA omvat basale controle van ICT-systemen van bancaire instellingen.

In de kern gaat het om de operationele risico’s die men kan lopen, bijvoorbeeld door downtime of niet-beschikbaarheid van pinsystemen. Een interessante innovatie van DORA is dat deze zich niet alleen richt tot bancaire instellingen maar ook tot hun ICT-dienstverleners, voorzover deze cruciale diensten verlenen. Hieronder vallen ook ICT-cloud-serviceproviders.

Daarnaast wil DORA een te grote afhankelijkheid van een beperkt aantal ICT-bedrijven voorkomen. Op zichzelf is deze doelstelling niet nieuw. Al langer probeert men binnen de EU te bereiken dat banken niet afhankelijk worden van slechts enkele ICT-providers, met als risico dat als de provider down gaat, grote delen van het betalingsverkeer in de EU uitvallen.

ICT-dienstverleners aan de bancaire sector dienen hun dienstenportfolio door te nemen om na te gaan welk deel van hun dienstverlening cruciaal is.

De oplettende lezer herkent wellicht in DORA de zogeheten ESA’s, eerdere meer vrijblijvende regelgeving binnen de EU. Inderdaad tracht DORA de bestaande lappendeken van ICT-regels voor het bankwezen een meer formeel en geharmoniseerd kader te geven. DORA zal naar verwachting over één à anderhalf jaar worden aangenomen en zal rechtstreekse werking hebben binnen de EU, net als de AVG.

“DORA lijkt achter de feiten aan te lopen door moderne beveiligingsplagen niet te adresseren”

Het kan worden toegejuicht dat de EU orde op zaken wil stellen binnen de bancaire wereld met haar hoge afhankelijkheid van ICT-diensten. Er zijn ook enkele kritische kanttekeningen te plaatsen bij dit initiatief. Allereerst valt op dat DORA deels hetzelfde onderwerp heeft als de AVG. Immers, ook de AVG richt zich op technische en organisatorische maatregelen en op risicomanagement. Denk bijvoorbeeld aan het voorkomen van beveiligingsincidenten zoals datalekken.

Onduidelijk blijft hoe banken straks de gecombineerde regels van DORA en de AVG dienen na te leven. De moderne plagen waarmee banken te maken hebben, zoals hacken en phishing, worden niet rechtstreeks geadresseerd in DORA. Hiermee lijkt DORA achter de feiten aan te lopen. De inhoud van DORA is voor een groot deel samen te vatten als de basale controle die je van banken en hun belangrijkste ICT-toeleveranciers reeds mag verwachten.

Daarom wordt nu al geopperd dat ná DORA aanvullende EU-regelgeving de daadwerkelijke ICT-problemen binnen de bancaire wereld zal aanpakken.

Daar waar DORA mogelijk appelleert aan de koektrommel van oma, is het ook tijd om hackers- en phishingclubs een koekje van eigen deeg te geven.