Het logo van Assuralia

DORA: een enorme uitdaging voor de verzekeringsondernemingen

DORA

Cyberbedreigingen (zoals ransomware, malware ...) zijn vandaag een realiteit. Men kan er vandaag van uitgaan dat incidenten met informatie- en communicatietechnologie (ICT) zich hoe dan ook zullen voordoen en dat weerbaarheid vereist is. De diverse cyberaanvallen die van jaar tot jaar in aantal toenemen rechtvaardigen het vastleggen van hoge standaarden om de digitale operationele weerbaarheid van de financiële sector te garanderen.

In die context hebben de Europese wetgevers een duidelijk en samenhangend kader voor het beheer van operationele risico’s uitgewerkt. Met deze DORA-verordening, die in de Europese Unie rechtstreeks toepasselijk is, willen zij de digitale operationele weerbaarheid van de verzekeringsondernemingen verbeteren.

Wat is de DORA-verordening?

DORA (de ) betreft meerdere aspecten in verband met digitale operationele risico’s:

  • het beheer van ICT-gerelateerde risico’s; 

  • het beheer en de melding van ICT-gerelateerde incidenten;

  • het testen van de digitale operationele weerbaarheid; 

  • het beheer van het ICT-risico van derde aanbieders; en

  • het delen van informatie over cyberbeveiliging.

Meer concreet behelst deze verordening onder meer de versterking (of invoering) door verzekeringsondernemingen van een kader voor ICT-risicobeheer. De verzekeringsondernemingen zullen ICT-incidenten ook moeten opsporen en aan de bevoegde autoriteiten melden. Tot slot zullen de verzekeringsondernemingen informatieregisters met betrekking tot derde aanbieders van ICT-diensten moeten opstellen. Ook voert DORA voor de grootste verzekeringsondernemingen verplichte tests van de operationele weerbaarheid in, bekend als ‘TLPT’.

DORA zet sommige aspecten van de interne organisatie van de verzekeraars op zijn kop

De algemene directie is verantwoordelijk voor de uitvoering van de strategie inzake operationele weerbaarheid en zal de nodige kennis moeten verwerven om hierover belangrijke beslissingen te kunnen nemen. Verder is de directie Risicobeheer van een verzekeringsonderneming verantwoordelijk voor de identificatie, de beoordeling en de beperking van de ICT-gerelateerde risico’s en voor de efficiëntie van de bedrijfscontinuïteitsplannen. Tot slot is de directie Informaticasystemen verantwoordelijk voor het ontwerp, de ontwikkeling, het onderhoud en de beveiliging van de informaticasystemen tegen cyberaanvallen, en zal zij deze informatiesystemen in overeenstemming moeten brengen met de door DORA gestelde vereisten.

Meer algemeen gezien moeten alle werknemers van een verzekeringsonderneming worden gesensibiliseerd over de verschillende ICT-risico’s en zullen zij dus nieuwe kennis moeten verwerven.

De implementatie van DORA: een uitdaging voor de komende maanden

De invoering of versterking van verschillende regelingen om aan de erg fijnmazige, technische en verregaande vereisten te voldoen, vormt een grote uitdaging. Bepaalde teksten (van niveau 2, de technische reguleringsnormen) die de toepassing van DORA moeten concretiseren en nader moeten toelichten zijn nog niet definitief, wat een bijkomende grote uitdaging meebrengt. 

Bovendien zal de versterking van de digitale weerbaarheid van de financiële sector op korte termijn moeten gebeuren. De DORA-verordening is in werking getreden op 16 januari 2023 en moet tegen 17 januari 2025 geïmplementeerd zijn.

Zich met deze wetgeving in regel stellen binnen die erg korte termijnen is bovendien ook een dure aangelegenheid, en plaatst tal van verzekeraars onmiskenbaar voor een uitdaging van formaat.

Blijf op de hoogte

Je ontvangt dan exclusieve artikels die je op de hoogte houden van de actualiteit in de verzekeringsector.

Inschrijven