De Digital Operational Resilience Act (DORA) is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen. DORA is van kracht sinds januari 2023 en is een aanvulling op bestaande wetgeving NIS en GDPR. Op 26 juli 2024 heeft de Europese Autoriteit voor Effecten en Markten (ESMA) het laatste rapport gepubliceerd over de Ontwerp- Regelgevende Technische Standaarden (RTS). Hiermee is de regelgeving definitief vastgesteld. DORA vereist een gepaste strategie voor digitale weerbaarheid van de financiële entiteit. Om een effectieve en proportionele informatiebeveiligingsstrategie te implementeren, is het cruciaal om te beginnen bij het fundament: IT-risicobeheer. Vorig jaar publiceerden we een artikel over IT-risicobeheer onder DORA, waarin we bespraken hoe DORA de nadruk legt op zes essentiële focusgebieden, waaronder ICT-risicobeheer, en een onmisbare leidraad biedt voor organisaties om hun digitale veerkracht te versterken door middel van effectieve risico-identificatie en -analyse, gebalanceerde risicotolerantie, regelmatige audits en monitoring, en voortdurende bewustwording en training. In die publicatie gaven we ook concrete stappen om te starten met IT- risicobeheer.
In de afgelopen maanden hebben we waardevolle nieuwe inzichten en kennis opgedaan. In dit artikel beschrijven we deze nieuwe bevindingen en delen we een concrete 5- stappenaanpak voor het opzetten van een risicobeheerkader.