DORA en het kleine kantoor: waar te beginnen?
DORA is van kracht sinds januari 2025. U bent makelaar met 2 tot 10 medewerkers. U valt eronder, maar het regime is verlicht. Dit moet u echt doen.
Op 17 januari 2025 trad de DORA-verordening (Digital Operational Resilience Act) in werking. Het doel: de digitale weerbaarheid van de Europese financiele sector versterken. Banken, verzekeraars, fondsbeheerders, maar ook verzekerings- en krediettussenpersonen.
Wanneer een makelaar "digitale weerbaarheid", "ICT-risicobeheer" en "penetratietests" hoort, is de natuurlijke reactie zich af te vragen of dat hem echt aangaat. Het korte antwoord: ja, maar met een regime aangepast aan uw omvang.
Valt u eronder?
De FSMA heeft specifieke educatieve documentatie gepubliceerd om het onderwerp te verduidelijken. De verordening geldt voor alle bij de FSMA ingeschreven verzekerings-, herverzekerings- en neventussenpersonen.
De verplichtingen varieren echter aanzienlijk naargelang de bedrijfsgrootte. Kantoren met minder dan 250 werknemers en een omzet onder 50 miljoen euro genieten een verlicht regime. Dat dekt vrijwel alle makelaarskantoren in Belgie.
Wat u concreet moet doen
Vijf acties die rechtstreeks betrekking hebben op een kantoor van 2 tot 10 personen.
1. Identificeer uw kritieke ICT-dienstverleners. Maak een lijst van alle software en clouddiensten die u dagelijks gebruikt: Portima, uw CRM, uw e-mail, uw e-handtekeningoplossing, uw webhost. Dat is uw ICT-dienstverlenersregister.
2. Controleer uw contracten. Elke kritieke ICT-dienstverlener moet een contract hebben met serviceniveaus, datalocatie en opzegvoorwaarden.
3. Basisbeveiliging implementeren. Tweefactorauthenticatie op gevoelige accounts. Regelmatige back-ups. Unieke en complexe wachtwoorden. Een bijgewerkte antivirus. BZB-Fedafin biedt een cyberveiligheidsgids voor KMO's aan in zijn sectorbibliotheek.
4. Weten hoe te reageren bij een incident. DORA vereist dat u een ernstig incident binnen 24 uur aan de FSMA kunt melden, met een tussentijds rapport binnen 72 uur. Bereid een eenvoudig document voor met contactpersonen, procedure en verantwoordelijkheden.
5. Documenteer alles. Een gedeeld bestand met de lijst van uw dienstverleners, uw beveiligingsmaatregelen en uw incidentprocedure volstaat voor een klein kantoor.
De val van tien tools
Veel makelaars gebruiken een stapeling van tools: een CRM hier, vergelijkingssoftware daar, een apart e-mailingtool, een andere webhost. Elke toegevoegde tool is een extra ICT-dienstverlener om te auditen, een contract om te controleren, een extra risico-oppervlak.
Het principe van DORA is duidelijk: hoe minder kritieke dienstverleners, hoe lager uw blootstelling. Een geintegreerd ecosysteem dat meerdere functies dekt, vermindert mechanisch het aantal te beheren contracten.
Daarom hebben we het NextMove-ecosysteem ontworpen als een geintegreerd platform: een enkele dienstverlener voor uw site, nieuwsbrief en tevredenheidsmeting. Een enkele regel in uw DORA-register in plaats van drie.
Sancties bestaan
DORA voorziet sancties tot 2% van de jaarlijkse wereldwijde omzet of 10 miljoen euro. Voor een klein kantoor is het belangrijkste risico indirect: RC-beroepsverzekeraars en cyberverzekeraars nemen DORA nu op in hun onderschrijvingsvragenlijsten. Non-conformiteit kan leiden tot uitsluitingen, bijpremies of sublimieten.
Geen paniek, wel methode
Vijf acties, een gedeeld bestand, en de zekerheid te weten wie te bellen als het misgaat. Dat is haalbaar voor elk kantoor. En het is het minimum om rustig te slapen.
