168/170, Avenue 01, Old York Drive Rich Mirpur DOHS, Bangladesh

Follow Us

Follow us on Social Network

DORA-checklist: ben je klaar voor de nieuwe digitale veerkrachtstandaard?

De Digital Operational Resilience Act, oftewel DORA, is de nieuwste EU-verordening die financiële instellingen dwingt om hun digitale weerbaarheid te versterken. Met de implementatiedeadline van januari 2025 in zicht, wordt het tijd om te controleren hoe jouw organisatie ervoor staat. Deze DORA-checklist helpt je om inzicht te krijgen in de belangrijkste vereisten en waar jouw organisatie mogelijk nog stappen kan zetten. We behandelen hier de kernpunten van DORA aan de hand van 10 essentiële thema’s. Let op: deze checklist is niet volledig. Voor de volledige details verwijzen we je graag door naar de officiële verordening en bijbehorende richtlijnen (RTS en ITS).
 

Vul de checklist in en ontdek waar jouw organisatie staat op het gebied van digitale veerkracht!

Heeft het management een plan opgesteld om ICT-risico's te beheren en te controleren? | Dit dient o.a. te voorzien in: duidelijke taken en verantwoordelijkheden van ICT-functies, zoals inrichting ICT-riskfunctie; toewijzing van budget; periodieke evaluaties en rapportagelijnen; en een intern ICT audit plan.
Is er een plan gemaakt voor het beheren van ICT-risico's als onderdeel van het algemene risicomanagement van het bedrijf? | Dit dient o.a. te voorzien in; een risico-analyse methodiek, risico-register (inclusief actieplannen) en periodieke evaluaties.
Heeft u een lijst gemaakt van alle ICT-apparatuur en informatie inclusief de bedrijfsprocessen die afhankelijk zijn van ICT-diensten van externe partijen? | Dit dient te worden bijgehouden in een register waarin duidelijk aangegeven is of de activa kritieke processen ondersteunen.
Hebt u een ICT-beveiligingsbeleid opgesteld met regels en procedures om ervoor te zorgen dat ICT-systemen veilig, beschikbaar en betrouwbaar zijn? | Dit dient o.a. beleid en procedures te bevatten voor technische maatregelen, zoals: fysieke en logische toegangscontrole; beheer van ICT changes, encryptie; netwerkbeveiliging; en uitvoeren van patches en updates.
Heeft u een plan gemaakt voor bedrijfscontinuïteit inclusief een impactanalyse, communicatieplan, regelmatige testen en een overzicht van belangrijke gebeurtenissen? | Dit dient o.a. te worden getest door gebruik te maken van realistische testscenario's die potentiële verstoringen proberen te simuleren. Indien mogelijk, worden ook ICT-services van derde partijen meegenomen in de testwerkzaamheden. De testresultaten worden gedocumenteerd en afwijkingen worden geanalyseerd, opgevolgd en gerapporteerd aan het management.
Heeft u back-up beleid en procedures, incl. herstelprocedures en -methodieken?
Heeft u programma's ontwikkeld voor bewustwording en training op het gebied van ICT-beveiliging en digitale weerbaarheid, passend bij de taken van medewerkers?
Heeft u een proces om ICT-gerelateerde incidenten te detecteren en af te handelen, inclusief een incidentenregister en meldingsprocedures?
Heeft u een programma gebaseerd op risico's om de digitale weerbaarheid te testen, met beleid en procedures om resultaten op te volgen?
Heeft u beleid om ICT-diensten van externe partijen te beheren, vooral als ze belangrijke bedrijfsprocessen ondersteunen? | Dit dient o.a. te voorzien in: een informatieregister voor overeenkomsten met derde aanbieders van ICT-diensten, exitplannen voor kritieke en/of belangrijke functies, en contractsjablonen obv de eisen uit de RTS, zoals service levels en auditrechten.