Wat is DORA?
DORA is een Europese IT-wet waar financiële instellingen vanaf januari 2025 aan moeten voldoen. Het doel van deze wet is om organisaties weerbaarder te maken tegen cyberdreigingen. ‘Lang voordat de wet van kracht werd, onderzochten we onze rol in relatie tot DORA en de impact ervan op ANVA,’ vertelt Jilles. ‘Daarom overleg ik maandelijks met een jurist die me op de hoogte houdt van alle ontwikkelingen.’
Waarom deze wet?
‘DORA is opgericht om de scheefgroei tussen de toenemende IT-dreiging en de ontwikkeling van weerbaarheid aan te pakken’, zegt Jilles. De financiële sector wordt steeds afhankelijker van software en IT-infrastructuur voor zijn dienstverlening, wat de kwetsbaarheid voor problemen zoals cyberaanvallen vergroot. Jilles voegt toe: ‘DORA focust daarom op het verbeteren van risicobeheer, incidentbeheersing, testen en inzicht in kritieke IT-dienstverleners. Uiteindelijk gaat het om de bescherming van persoonlijke data van de klant. Dat is een grote verantwoordelijkheid en daar helpen wij onze klanten mee.’
Wat betekent DORA voor ANVA?
‘Als softwareleverancier vallen wij niet direct onder het toezicht van DORA, omdat wij geen financiële instelling zijn’, legt Jilles uit. ‘Maar we zijn wel betrokken als derde aanbieder van ICT-diensten. De toezichthouders van DORA willen op Europees niveau weten waar de concentratierisico’s zitten, en bij ons is dat duidelijk: 70% van de Nederlandse verzekeringsvolmachten vertrouwt op de producten en diensten van ANVA voor haar dagelijkse bedrijfsvoering. Als er iets met ANVA gebeurt, kan 70% niet meer werken. Continuïteit borgen op ANVA is voor onze klanten en ons zelf dus een serieuze verantwoordelijkheid.’
‘ANVA is al heel DORA-proof: daarom richten we ons nu vooral op contractuele afspraken’
Wat verandert er voor klanten?
Eigenlijk weinig, want ANVA is al DORA-proof, aldus Jilles. ‘Daarom richten we ons nu vooral op contractuele afspraken, zoals het opstellen van een goede exit-regeling. Onze klanten moeten zelf zorgen dat ze in het kader van DORA risico-analyses en bedrijfscontinuïteitsplannen maken, als ze die nog niet hebben. Tegelijkertijd gaan wij meer zaken rapporteren. Wij gaan er bijvoorbeeld voor zorgen dat in de Service Level Agreements komt te staan wanneer wij onze klanten informeren bij een mogelijk incident en hoe we omgaan met de levering van onze cloudoplossingen.’
DORA is heel omvangrijk. Kun je dat uitleggen?
‘Het is een uitgebreide wet', vertelt Jilles. ‘DORA omvat veel richtlijnen en vereisten waaraan financiële instellingen moeten voldoen. We moeten elke norm doornemen en analyseren wat dit voor ons betekent. Bijvoorbeeld, wat gebeurt er met de keten als een van onze leveranciers omvalt? Hebben we daar een noodplan voor? Hoewel DORA niet direct onze bedrijfsstructuur beïnvloedt, heeft het wel indirect impact. Het verplicht ons om nog kritischer na te denken over risicobeheer en onze visie en voorzorgsmaatregelen daarover te delen met onze klanten.’
Wat kunnen klanten verwachten met betrekking tot DORA?
Vanaf september 2024 willen we onze nieuwe overeenkomsten beschikbaar maken voor onze klanten,’ vertelt Jilles. Die voldoen dan aan de actuele DORA-eisen en we sorteren ook alvast voor op ANVA’s nieuwste software, ANVA 6. Het staat klanten dan vrij om hun bestaande overeenkomst te vervangen door deze nieuwe DORA-proof overeenkomst. Commerciële afspraken blijven daarin ongewijzigd. Jilles voegt toe: ‘Het is aan de klant om op 17 januari 2025 aan de nieuwe regels te voldoen. Wij ondersteunen zo goed als mogelijk.’