De impact van DORA op de financiële sector: Wat u moet weten
Blog 1 van 9
Organisaties in de financiële sector zijn voor hun dienstverlening in hoge mate afhankelijk van IT-technologie en ondersteunende IT-bedrijven. Dit maakt de sector kwetsbaar voor falende systemen door problemen met de technologie maar ook een gewild doel voor cyberaanvallen. Het is daarbij niet de vraag óf je als organisatie geraakt wordt, maar wanneer. Naast de aandacht die dit heeft op organisatie en nationaal niveau heeft de EU de Digital Operational Resillience Act (DORA) geïntroduceerd. Dit is de Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee tevens weerbaarder worden tegen cyberdreigingen. DORA is sinds januari 2023 van kracht en geeft financiële instellingen tot 17 januari 2025 de tijd om aan alle vereisten te voldoen.
Wat is DORA?
DORA is ontworpen om financiële organisaties weerbaarder te maken tegen IT-risico’s en cyberdreigingen. Onder deze verordening moeten financiële instellingen een uitgebreid cyberbeveiligingsprogramma implementeren. Dit programma omvat beleidslijnen, procedures en risicobeheersactiviteiten die jaarlijks door een externe toezichthouder worden gecontroleerd.
Toepassingsgebied van DORA
DORA is niet alleen van toepassing op alle organisaties in de financiële sector maar ook op de cruciale IT-serviceproviders die deze organisaties bedienen. IT-serviceproviders vallen hiermee ook rechtstreeks onder toezicht van de Europese Toezichthoudende Autoriteiten.Toezichthouders krijgen de mogelijkheid om bij niet naleving van de DORA verplichtingen over te gaan tot het opleggen van boetes. De technische reguleringsnormen worden momenteel door de Europese toezichthoudende autoriteiten nog verder ontwikkeld en gepubliceerd.
De Vijf Pijlers van DORA
In DORA worden de eisen onderverdeeld in 5 'pijlers':
1. ICT Risk Management
Dit onderdeel beschrijft verplichtingen op organisatorisch en procesniveau. Hieronder vallen zaken als een gedocumenteerd ICT risk-management framework inclusief verantwoordelijkheden, maar ook een risicomanagement proces wat cyberrisico’s in kaart brengt en de maatregelen kan testen. Uiteraard is daarbij een actueel inzicht in het bestaande landschap een belangrijke randvoorwaarde. Belangrijke aandachtspunten daarbij zijn het in kaart brengen van diensten van de IT-partners en bijbehorende risicoanalyse en het periodiek, minimaal jaarlijks, controleren op de security status van legacy systemen.
2. ICT Incident Reporting
Dit onderdeel beschrijft enerzijds het verplicht melden van cyber incidenten en anderzijds de maatregelen die genomen moeten worden t.a.v. detectie van afwijkingen in netwerkverkeer, met name gericht op cyberaanvallen.
3. Digital Operational Resilience Testing
Binnen dit onderwerp vallen zaken als het hebben van een IT continuity plan (inclusief de diensten van externe serviceproviders), en de bijbehorende testverplichting. Deze verplichting betreft de op risico gebaseerde aanpak van security testen door professionele en bij voorkeur geaccrediteerde penetratie testers en anderzijds de benodigde procedures t.a.v. incident response, disaster recovery en backup. Aanvullend dienen organisaties gebruik te maken van actuele systemen om crisissituaties te kunnen doorstaan en continuïteit van processen te kunnen waarborgen.
4. ICT Third Party Risk Management
Deze pijler beschrijft de verplichtingen om betrokken kritische IT-dienstverleners (inclusief cloud serviceproviders) mee te nemen in de risk-management verplichtingen. Daarbij dienen afspraken gemaakt te worden met deze dienstverleners inzake cybersecurity assessments.
5. Information and Intelligence Sharing
Binnen dit onderdeel vallen zaken als het kader voor het uitwisselen van cyberdreigingsinformatie en alles wat daar onder kan vallen (technieken, indicators of compromise (IoC), security tooling).
Praktische Implementatie van DORA
Veel organisaties hebben al deels voldaan aan de eisen van DORA via bestaande interne en externe security- en continuïteitsrichtlijnen. DORA zal een aanscherping zijn en deze voorschriften komen boven op de reeds bestaande inspanningen. In de praktijk zijn zaken als continuïteit in de keten, bij gebruik van een hybride IT-omgeving, vaak lastiger te vangen. Daar zal de nodige aandacht op gericht moeten zijn vanuit continuïteit gebaseerd op de mogelijkheden van proces disaster recovery maar ook vanuit dataveiligheid als het gaat om de data backup. Anderzijds verandert er het nodige op het gebied van rapportage en de controle over externe dienstverleners.
Checklists en Roadmaps
Er zijn diverse checklists beschikbaar om te bepalen of een organisatie voldoet aan de DORA-vereisten en waar zaken aangevuld danwel aangepast dienen te worden, resulterend in een actielijst of roadmap. Wees alert op het gebruik hiervan, omdat nog er nog steeds updates verstrekt worden op de benodigde implementatie zoals hierboven beschreven die mogelijk impact kunnen hebben op de uitkomst.
Conclusie
DORA heeft als primair doel om risico’s binnen jouw organisatie in kaart te brengen en hiervoor mitigerende of aanvullende maatregelen en oplossingen te implementeren. Deze maatregelen zijn niet universeel, maar afhankelijk van een specifieke situatie en risicoanalyse.
Zorg ervoor dat jouw organisatie voorbereid is op de nieuwe eisen van DORA en profiteer van de geboden frameworks om IT-risico’s effectief te beheren. BPSOLUTIONS kan je helpen met de IT-infra en security aspecten die een goede DORA implementatie vereisen. Wil je meer over weten wat de eisen van DORA zijn? Klik hier of neem contact op met Louis Joosse.
Wil je ons tweede blog over DORA lezen? Klik dan hier.
Je kunt je hieronder ook abonneren op onze DORA nieuwsbrief.
Wil je jouw wereld een stukje slimmer maken?
Neem dan contact op met Mark Jenster.