De tijdlijn voor Good Practice Informatiebeveiliging en DORA
Tijdlijn van publicaties
Op 16 januari 2023 is de Digital Operational Resilience Act (DORA) regelgeving van de Europese Commissie in werking getreden. Deze regelgeving geeft nieuwe vereisten aan onder andere risico management, incidentrapportage, het testen van operationele veerkracht en het monitoren van ICT-uitbestedingsrisico. De Good Practice Informatiebeveiliging (GPIB) van DNB is met oog op DORA in december 2023 geactualiseerd. Volgens DNB is het een verdere verdieping en aanscherping die past bij toenemende en veranderende cyberdreigingen. Wat de grootste verschillen zijn, kun je lezen in onze eerdere one-pager.
Om meer duidelijkheid te geven aan de vereisten van DORA zijn er een tweetal Regulatory Technical Standards (RTS). De eerste batch hiervan is uitgekomen op 17 januari 2024. De inbegrepen RTS-en gaan over het risicomanagement framework, het classificeren van ICT incidenten en cyberdreigingen, en de templates van het register en het beleid over ICT dienstverlening van derden. 17 juni 2024 komt de tweede batch, waar een stuk meer RTS-en zijn meegenomen, zoals guidelines over het schatten van kosten van ICT incidenten, hoe de incidenten moeten worden gerapporteerd, het specificeren van penetratie testen, en het bepalen wanneer de dienstverlening van derden onder kritieke functies valt.
Een verschil tussen DORA en GPIB is dat DORA als Europese regelgeving rule based is, waar de GPIB principle based is. De nieuwe versie van GPIB heeft als doel dit verschil deels te overbruggen, mede door de formulering van de maturity levels van de controls aan te passen. Bewijsvoering wordt meer belangrijk in de nieuwe GPIB. We hebben een intern overzicht gemaakt van de verschillen van alle controls tussen de twee versies van GPIB. Hieruit blijkt onder andere dat sommige controls zijn uitgebreid met specifiekere vereisten, wat ook meer neigt naar rule based regelgeving.
Toezichthoudende activiteiten
Volgens DNB.nl zal DNB niet gelijk starten met toezichthoudende activiteiten op basis van de geactualiseerde GPIB. Tot en met Q2 2024 geldt GPIB 2019/2020 nog steeds. In het tweede halfjaar van 2024 wordt de overgang naar GPIB 2023 gemaakt als een tussenstap voor de overgang naar DORA. Vanaf 17 januari 2025 treedt DORA volledig in werking, en wordt dan ook de basis van de toezichthoudende activiteiten van DNB op het gebied van ICT security.
Verder praten over DORA implementatie?
Geïnteresseerd om de discussie verder te voeren, of hoe Probability kan assisteren in de transitie naar DORA? Neem contact op met onze ICT experts Remco Tonkes of Edward Roozenburg voor meer informatie.