DNB: instellingen nog veel werk te verzetten voor implementatie DORA

Vanaf 17 januari 2025 zijn financiële ondernemingen verplicht om te voldoen aan de Digital Operational Resilience Act (DORA). DNB is in haar jaarlijkse uitvraag nagegaan in hoeverre instellingen stappen maken in de implementatie van DORA. De resultaten laten zien dat instellingen de komende maanden nog veel werk moeten verrichten. De belangrijkste uitkomsten zijn:

1. Veel instellingen moeten nog starten met (delen van) de gap-analyse. DNB ziet het belang van een gedegen gap-analyse als voorbereiding op de implementatie van DORA in, maar roept instellingen op om de gap-analyse met passende urgentie af te ronden. De gap-analyse laat immers zien welke stappen nog genomen moeten worden. In de praktijk blijkt dat sommige aanpassingen veel implementatietijd vergen.
2. Een overkoepeld overzicht ontbreekt. Te denken valt aan het vereiste informatieregister, het compliant maken van contracten met kritieke en niet-kritieke ICT-dienstverleners en monitoring van uitbestedingsketens. Het realiseren van deze punten kan veel tijd kosten.
3. Gestarte implementatieprogramma’s zijn veelal niet vergevorderd. Er moet nog veel werk worden verzet om de geïdentificeerde gaps te dichten. Ook dit kan veel doorlooptijd vergen. Een programma waarbij de voortgang wordt bewaakt door het bestuur of de directie en waar periodiek over gerapporteerd wordt, kan bijdragen aan een tijdige implementatie.

Bron: DNB, 11 juli 2024.