DORA

De Digital Operational Resilience Act (DORA) is een Europese verordening die gericht is op het versterken van de digitale operationele veerkracht van financiële instellingen, waaronder verzekeringsmaatschappijen. Het doel is om de sector beter bestand te maken tegen cyberdreigingen en digitale verstoringen. DORA verplicht bedrijven robuuste, veilige en veerkrachtige digitale systemen te implementeren, waarbij voortdurende monitoring en rapportage centraal staan.

Wat betekent DORA voor de verzekeringsbranche?

1. Verbetering van IT-beveiliging en risicomanagement: Verzekeraars moeten een sterk framework opzetten voor het beheren van IT-risico’s, inclusief beveiliging van gegevens en systemen. Dit gaat niet alleen over het beschermen tegen cyberaanvallen, maar ook over het beheren van risico’s die voortkomen uit het gebruik van externe IT-leveranciers en cloudservices.
2. Bewustwording op het hoogste managementniveau: DORA legt expliciet de verantwoordelijkheid voor digitale veerkracht bij het hoogste management en de raad van bestuur van verzekeringsmaatschappijen. Dit betekent dat directies en topmanagement zich actief bewust moeten zijn van de digitale dreigingen en de potentiële gevolgen voor hun organisatie. Ze moeten niet alleen toezicht houden, maar ook direct betrokken zijn bij strategische besluitvorming rondom cybersecurity en risicobeheer. DORA vereist dat deze bewustwording wordt vertaald in actie door middel van beleid, investeringen in technologie en het waarborgen van continuïteit van de bedrijfsvoering.
3. Monitoring van derde partijen: Verzekeraars maken vaak gebruik van externe IT-leveranciers, zoals clouddiensten. DORA stelt dat bedrijven strikter toezicht moeten houden op de risico’s die deze leveranciers vormen. Dit betekent dat bedrijven hun contracten en leveranciersketens moeten herzien en een beter mechanisme voor risicomonitoring moeten implementeren, zodat potentiële bedreigingen vanuit externe partners tijdig worden geïdentificeerd en aangepakt.
4. Rapportage van cyberincidenten: Verzekeringsmaatschappijen moeten digitale incidenten zoals datalekken of cyberaanvallen snel melden aan de toezichthouder. Deze meldingsplicht zorgt voor meer transparantie en stelt toezichthouders in staat om sneller in te grijpen of maatregelen te treffen die verdere schade kunnen beperken.
5. Versterking van de digitale veerkracht: Om veerkrachtig te blijven tegen cyberaanvallen, vraagt DORA verzekeraars om regelmatige tests uit te voeren op hun IT-systemen. Dit omvat penetratietests en simulaties van cyberincidenten, waarbij ook topmanagement betrokken moet worden om ervoor te zorgen dat zij begrijpen hoe de organisatie in geval van een incident reageert en welke herstelacties worden ondernomen.
6. Continuïteits- en herstelplannen: Verzekeraars moeten gedetailleerde plannen opstellen om de continuïteit van hun bedrijfsvoering te waarborgen tijdens en na digitale verstoringen. Het management moet ervoor zorgen dat deze plannen niet alleen bestaan, maar ook periodiek worden getest en aangepast op basis van veranderende omstandigheden.

Bewustwording en Verantwoordelijkheid van Topmanagement

Een belangrijk aspect van DORA is de nadruk op bewustwording en verantwoordelijkheid op bestuursniveau. Waar digitale risico’s voorheen vaak alleen op IT-niveau werden aangepakt, maakt DORA duidelijk dat de risico’s inherent zijn aan de gehele bedrijfsvoering en daarom ook de aandacht van de directie en het bestuur vereisen. Het bestuur moet niet alleen toezicht houden op de naleving van de regelgeving, maar ook investeren in een cultuur van cybersecurity. Het nemen van strategische beslissingen, zoals het prioriteren van IT-budgetten en het versterken van interne expertise, behoort nu tot hun kernverantwoordelijkheden.

Samenvatting

DORA betekent voor verzekeringsmaatschappijen niet alleen een technologische verandering, maar ook een verschuiving in het strategische bewustzijn op het hoogste managementniveau. Bedrijven moeten hun IT-beveiliging, risicomanagement en externe leverancierscontrole verbeteren, maar ook een cultuur van digitale veerkracht ontwikkelen binnen hun organisatie. De directie en het bestuur spelen een cruciale rol in het proactief beheren van digitale bedreigingen, waarbij hun betrokkenheid essentieel is voor het waarborgen van continuïteit, stabiliteit en het vertrouwen van klanten in een steeds meer digitaal wordende financiële omgeving.