DORA stelt uniforme eisen waaraan alle financiële instellingen moeten voldoen om zo de weerbaarheid tegen cyberdreigingen Europabreed te verbeteren. Deze eisen zijn nu omgezet naar te nemen maatregelen via zogeheten reguleringsnormen (regulatory technical standards). Het betreft maatregelen:
- voor de ICT-beveiliging van een bedrijf (toegangsbeheer, detectie van afwijkende activiteiten, bedrijfscontinuïteitsbeleid, herstelplannen)
- de inhoud van contracten met (kritieke) aanbieders van ICT-diensten. Verzekeraars zijn in de nieuwe regelgeving verantwoordelijk voor de aanbieders van hun ICT-diensten. In contracten moeten duidelijke afspraken staan zodat aanbieders aan de DORA-eisen voldoen
- met criteria voor ernstige ICT-gerelateerde incidenten
- voor de rapportage van ernstige ICT-gerelateerde incidenten
- voor het uitvoeren van weerbaarheidstesten
- voor een model voor het informatieregister met daarin informatie over het gebruik van ICT-diensten.
Pleidooi voor proportionele regels
In september 2023 heeft het Verbond samen met Insurance Europe laten weten dat de eerste set concept-lagere regelgeving te weinig rekening houdt met de specifieke omvang en risico’s van verzekeraars. Het Verbond heeft daarbij gepleit voor regels die verzekeraars eenvoudig kunnen vertalen naar maatregelen die operationeel én financieel uitvoerbaar zijn. Het Verbond gaat de nu gepubliceerde RTS’en de komende periode beoordelen op de uitvoerbaarheid ervan voor verzekeraars.
Tweede ronde RTS’en
Ondertussen loopt de consultatie van de tweede ronde RTS’en. Deze zijn in december gepubliceerd en uiterlijk begin maart zal het Verbond, samen met Insurance Europe, reageren.
In maart organiseert het Verbond een webinar over de gevolgen van DORA voor verzekeraars. Houd de website van het Verbond in de gaten.