In november 2022 is de Digital Operational Resilience Act (DORA) aangenomen door de Raad van Europa. DORA is in Nederland bekend als de verordening betreffende de digitale operationele veerkracht voor de financiële sector.

Als onderdeel van het Digital Finance Package van de Europese Unie bevat de Digital Operational Resilience Act (DORA) uniforme vereisten voor beveiliging van netwerken en informatiesystemen van bedrijven die opereren in de financiële sector, met als doel om de weerbaarheid van de financiële sector te bestendigen en de bestaande wet- en regelgeving op dit vlak binnen Europe gelijkwaardig te maken.

DORA omvat onder andere verplichtingen voor IT-risk management, de melding van IT-incidenten en cyberdreigingen, het testen van IT-systemen en het managen van de risico’s bij uitbesteding van IT aan derden.

Nieuw is dat als gevolg van DORA ook bepaalde ICT-dienstverleners onder rechtstreeks toezicht zullen komen te staan als zij diensten verlenen aan partijen in de financiële sector die onder het toepassingsbereik van DORA vallen. Dit gaat om IT-leveranciers die kwalificeren als ‘critical ICT third-party service providers’ onder DORA.

Binnen het kader van het verplichte IT-risk management voor de instellingen die onder DORA vallen, is het creëren van noodzakelijke of aanvullende waarborgen door middel van contuïteitsregelingen als Escrow, SaaS-Escrow en CloudSecure een voor de hand liggende, relatief eenvoudige en kosteneffectieve maatregel.