Dit doet DNB naar aanleiding van de resultaten die uit haar jaarlijkse uitvraag naar de vordering van de Dora-implementatie naar voren komen. Die blijken niet mee te vallen: er moet in de korte tijd die financiële instellingen nog rest veel gebeuren.
Urgentie rond gap-analyses
Zo constateert de toezichthouder dat nog maar weinig financiële instellingen een volledige gap-analyse (dus: waar instellingen nu staan, waar ze heen willen en wat daarvoor nodig is) hebben uitgevoerd. Of ze zijn daar nog mee bezig, of ze moeten daar überhaupt nog mee beginnen.
Een gedegen gap-analyse is in de ogen van DNB belangrijk ter voorbereiding op de Dora-implementatie. Wat insinueert dat veel financiële instellingen dus nog maar aan het begin van het implementatietraject staan. Waarbij DNB waarschuwt: aanpassingen van tekortkomingen die uit deze gap-analyses naar voren komen kennen mogelijk een lange doorlooptijd. En daarmee komt de implementatiedeadline dan weer in gevaar.
Geen overkoepelend overzicht
Dora vergt ook aandacht van en mogelijke aanpassingen bij ICT-dienstverleners van financiële instellingen en – verderop in de keten – partijen waar deze ICT-partijen weer mee samenwerken.
Een overkoepelend overzicht, in de vorm van bijvoorbeeld een informatieregister en monitoring van de hele ICT-uitbestedingsketen, ontbreekt vooralsnog bij veel partijen, constateert DNB.
Gestarte implementaties nog prematuur
Partijen die wel al een gap-analyse uitvoerde en een beeld hebben van de benodigde inspanningen zijn in veel gevallen nog niet vergevorderd in het dichten van de gaps, concludeert de toezichthouder.
Om de vaart erin te krijgen, wijst DNB naar de belangrijke rol die directies en bestuurders van de financiële instellingen spelen. ‘Een programma onder verantwoordelijkheid van het bestuur of de directie, waarvan de voortgang wordt bewaakt en waarover periodiek wordt gerapporteerd, draagt positief bij aan een tijdige implementatie van Dora’, schrijft DNB.
Dora-checklist AFM
De AFM publiceerde recent nog een checklist waarmee partijen kunnen achterhalen wat er nog aan beleid en procedures nodig is om het stempel ‘Dora-proof’ te krijgen.
