DORA Artikel 19, 28 en 30: Waarom een ISMS niet meer voldoende is voor financiële entiteiten
DORA vereist operationele klantcommunicatie tijdens incidenten, een actueel ICT-leveranciersregister en continue monitoring. Een ISMS alleen kan dit niet leveren.
DORA Artikel 19, 28 en 30: Waarom een ISMS niet meer voldoende is voor financiële entiteiten
De DORA-verordening is sinds 17 januari 2025 rechtstreeks van toepassing op vrijwel alle financiële entiteiten in de EU. Zij introduceert vereisten die een traditioneel ISMS niet kan vervullen — met name rondom klantcommunicatie en continue monitoring van ICT-dienstverleners.
Wat een ISMS dekt — en wat niet
Een ISMS afgestemd op ISO 27001 levert governance: beleid, risicoregisters, controls, jaarlijkse audits. DORA bouwt hierop voort — Artikelen 5 en 6 vereisen een gedocumenteerd ICT-risicobeheerraamwerk onder verantwoordelijkheid van het bestuur. Een ISMS kan dat leveren.
Maar DORA gaat op drie gebieden aanzienlijk verder:
1. Artikel 19(3): Klanten moeten zonder onnodige vertraging worden geïnformeerd
DORA introduceert niet alleen rapportagetermijnen aan toezichthouders (24 uur voor de initiële melding, 72 uur daarna voor het vervolgrapport en 1 maand na het vervolgrapport voor het eindrapport). Artikel 19(3) vereist daarnaast:
"Wanneer een ernstig ICT-gerelateerd incident zich voordoet en gevolgen heeft voor de financiële belangen van cliënten, stellen financiële entiteiten hun cliënten zonder onnodige vertraging op de hoogte zodra zij hiervan kennis nemen."
Dit is nieuw: communicatie verloopt niet alleen verticaal naar de toezichthouder, maar ook horizontaal naar zakenpartners. Een ISMS documenteert incidenten intern — het biedt geen kanaal voor gestructureerde real-time klantcommunicatie.
2. Artikel 28(3): Het informatieregister moet actueel zijn
Financiële entiteiten moeten een volledig register van alle ICT-dienstverleners van derden onderhouden en bijwerken — niet als eenmalige exercitie, maar op doorlopende basis. Toezichthouders zoals DNB of BaFin kunnen dit register te allen tijde opvragen.
Een ISMS bevat doorgaans een leverancierslijst. Maar een register in de DORA-zin vereist gestructureerde, actuele gegevens over contractomvang, locaties, onderaannemers en kritiekheid — idealiter in een formaat dat automatisch kan worden gevuld.
3. Artikel 30(3)(e): Continue monitoring — geen jaarlijkse audits
DORA vereist in contracten met kritieke ICT-dienstverleners "het recht om de prestaties van de ICT-dienstverlener van derden doorlopend te monitoren." Tegelijkertijd verwijst de verordening naar mechanismen zoals "toegangs-, inspectie- en auditrechten" en "inspecties ter plaatse."
Hier ligt een hiaat: DORA eist continue monitoring maar veronderstelt instrumenten uit de wereld van jaarlijkse audits. Geen enkele financiële entiteit kan kwartaalinspecties ter plaatse uitvoeren bij 30 ICT-dienstverleners. Wat "continu" operationeel betekent, moet anders worden opgelost: met dashboards, geautomatiseerde statusupdates en gestructureerde gegevensfeeds.
De oplossing: ISMS voor governance, Trust Center voor operatie
DORA scheidt impliciet twee werelden: interne controle en externe communicatie. Een ISMS dekt het eerste. Voor het tweede — klantcommunicatie tijdens incidenten, continue leveranciersmonitoring, een actueel informatieregister — is een operationeel systeem nodig.
Een Trust Center overbrugt precies dit hiaat: het maakt de beveiligingshouding zichtbaar, maakt proactieve communicatie mogelijk en levert gestructureerde gegevens die klanten direct kunnen opnemen in hun eigen informatieregisters.
Bronnen: