Nieuwe DORA-wet kan managers persoonlijke boetes tot één miljoen euro opleggen bij schending naleving
De nieuwe Europese wet DORA, die vandaag in werking treedt, legt veel meer nadruk op persoonlijke aansprakelijkheid bij het niet naleven van de wet. Dit voorspelt cybersecuritybedrijf Hadrian, dat organisaties helpt om aan DORA te voldoen. Bij DORA kunnen managers in de financiële sector boetes krijgen tot één miljoen euro bij het niet naleven van de wet. “Correcte naleving van DORA is belangrijker dan ooit om individuele boetes te voorkomen”, aldus Rogier Fischer, ethisch hacker en eigenaar van Hadrian.
Individuele aansprakelijkheid centraal
Een goede naleving van DORA versterkt de financiële weerbaarheid van organisaties. De aard van de DORA-wetgeving maakt het makkelijk om individuen boetes op te leggen voor het niet naleven ervan, constateert Fischer. “DORA maakt individuen expliciet persoonlijk verantwoordelijk voor de naleving van verplichtingen, zoals risicobeheer, beveiliging en rapporteren. Hierdoor kunnen zij sneller persoonlijk aansprakelijk gesteld worden en beboet worden. Zeker als je dit vergelijkt met wetten zoals de GDPR. Daar kunnen individuen ook boetes krijgen, maar dit komt zelden voor. De aansprakelijkheid ligt toch vaak bij de organisatie.”
Politieke druk
Daarnaast oefent de Europese politiek druk uit op strengere handhaving en hogere boetes. Dit heeft twee doelen: organisaties dwingen compliance serieus te nemen, en een cultuur van verantwoordelijkheden creëren. Fischer: “Anders blijft compliance een vage verplichting die in het midden van een organisatie blijft zweven. Door de verantwoordelijkheden bij individuen neer te leggen, vergroot je de kans dat hieraan voldaan wordt. Dit draagt bij aan de digitale weerbaarheid van organisaties.”
Engeland als voorbeeld
Fischer vermoedt ook dat Europa Engeland als inspiratie beschouwt. Engeland heeft soortgelijke wet- en regelgeving, zoals de Prudential Regulation Authority (PRA) en de Financial Conduct Authority (FCA). Deze wet- en regelgeving heeft laten zien dat boetes voor individuen flink kunnen oplopen. “Zo heeft de CIO van een Britse bank onlangs een boete gekregen van 80.000 pond. Dit heeft een zeer afschrikwekkend effect gehad; na dit incident voldeden veel meer financiële instellingen aan de wet- en regelgeving. Dit wil men in Europa ook bereiken om de digitale weerbaarheid te versterken.”
Het belang van testen
Een van de vijf pijlers van de DORA is de Digital Operational Resilience Testing. Deze pijler vraagt veel van verantwoordelijke individuen, bijvoorbeeld CIO’s en CISO’s. Zij moeten regelmatig basistesten en geavanceerde testen uitvoeren om kwetsbaarheden te identificeren. “Alles in een organisatie dat wordt blootgesteld aan het internet, moet je blijven testen. Hierdoor komt de verantwoordelijke onder veel druk te staan”, zegt Fischer hierover.
Daarom adviseert hij om het testproces uit handen te geven. “Ik raad CIO’s en CISO’s die dit straks op hun bord krijgen, van harte aan om dit uit te besteden aan een gerenommeerde partij. Het is een investering, maar scheelt een hoop kopzorgen en tijd. En waarschijnlijk een boete die kan oplopen tot 1 miljoen. Want Nederlandse toezichthouders zijn streng als het aankomt op naleving van DORA”, concludeert Fischer.
Lees meer
