EUR · Framework
DORA — Wet op Digitale Operationele Veerkracht
DORA legt uniforme regels vast over informatie- en communicatietechnologie (ICT)-risico voor de Europese financiële sector, zodat ondernemingen ICT-verstoringen en -dreigingen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen.
Wat het is
DORA legt uniforme regels vast over informatie- en communicatietechnologie (ICT)-risico voor de Europese financiële sector, zodat ondernemingen ICT-verstoringen en -dreigingen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen.
Europese Unie · Van toepassing vanaf 17 januari 2025
Op wie het van toepassing is
Banken, verzekeraars, beleggingsondernemingen, aanbieders van betalingsdiensten en cryptodiensten, en de kritieke ICT-derde partijen die hen bedienen.
Belangrijkste verplichtingen
- Een ICT-risicobeheerframework onder verantwoordelijkheid van het leidinggevend orgaan
- Classificatie en melding van significante ICT-gerelateerde incidenten
- Tests van digitale operationele veerkracht, waaronder dreigingsgestuurde penetratietests
- Toezicht op ICT-risico van derde partijen en concentratie
- Uitwisseling van informatie en inlichtingen over cyberdreigingen
Hoe CCI het aanpakt
DORA-MAST berekent ICT-risico en veerkracht ten opzichte van de verordening; cVaR kwantificeert de waarde in risico die de raad van bestuur moet rapporteren; EviGen bewijst de controls; dreigingsgestuurde tests worden uitgevoerd met PenTeva.
Officiële bron
Verordening (EU) 2022/2554
https://eur-lex.europa.eu/eli/reg/2022/2554/oj
De gelinkte tekst is de gezaghebbende juridische of normbron. CCI maakt er een mapping naar; het is geen CCI-publicatie.