Begin 2025 wordt voor de gehele financiële sector voor het eerst Europese regelgeving van kracht om de ICT-risico’s zoveel mogelijk te mitigeren. De Verordening, de Digital Operational Resilience Act (hierna DORA) zal vanaf 17 januari 2025 rechtstreeks van toepassing zijn tezamen met nog een scala aan lagere regelgeving en standaarden. De eenentwintig verschillende soorten entiteiten waarvoor de Verordening en de onderliggende regelgeving gaat gelden, zullen moeten doorwerken om op tijd ‘DORA-proof’ te zijn. Intussen ligt in Nederland het voorstel voor de wijziging van de Wft ter implementatie van de bijbehorende richtlijn betreffende digitale operationele weerbaarheid ter consulatie voor en lagere regelgeving bij de Verordening wordt momenteel uitgewerkt om dit ietwat holistisch wetgevingskader toegespitst op cybersecurity voor de gehele financiële sector in te bedden.

Op 16 januari 2023 is de Digital Operational Resilience Act (of kortweg DORA) in werking getreden, die vanaf 17 januari 2025 van toepassing zal zijn. Formeel bestaat DORA uit een verordening en een richtlijn. De kernregelgeving omtrent digitale operationele weerbaarheid is opgenomen in de verordening. De richtlijn is bedoeld om bestaande toezichtrechtelijke regelgeving te wijzigen en in lijn te brengen met de verordening. Onderwerp van dit artikel is de DORA-verordening. Daar waar dit artikel spreekt over DORA wordt derhalve bedoeld de DORA-verordening. DORA reguleert de operationele weerbaarheid en cyberbeveiliging in de Europese financiële markt, en stelt onder meer ­regels voor de governance en het beheer van ICT-risico’s. ­Vanwege de toenemende digitalisering in de financiële sector ontwikkelen zich evenzo toenemende risico’s. Beveiliging van ICT-systemen en digitale weerbaarheid zijn onderdeel van het operationele risico van financiële entiteiten. Voorheen ontbrak regelgeving binnen de EU die deze onderwerpen reguleerde vanuit een sectorbrede visie. Dit zorgde voor een gefragmenteerde aanpak die per lidstaat en sector verschillend kon zijn.