De Digital Operational Resilience Act (DORA) is nieuwe EU-wetgeving gericht op het bereiken van een hoog gemeenschappelijk niveau van digitale operationele veerkracht in de financiële dienstensector in alle lidstaten. De wet heeft een brede geografische reikwijdte en is van toepassing op zowel bedrijven met vestigingen in de EU, als op bedrijven die diensten verlenen aan een financiële instelling die diensten verricht in de EU.
DORA is van toepassing op een breed scala van financiële entiteiten, zoals banken, verzekeraars en beleggingsondernemingen, evenals hun cruciale technologieleveranciers. Hierdoor komen IT-bedrijven voor het eerst onder toezicht van financiële toezichthouders te vallen. De dringende reden voor DORA is duidelijk: de veerkracht tegen cyberaanvallen vergroten in een financiële sector die steeds afhankelijker wordt van digitale technologie. Naarmate de digitale transformatie vordert, worden bedrijven steeds kwetsbaarder bij een ernstige cyberaanval, wat op den duur ook problemen voor het bredere economische ecosysteem met zich meebrengt.
Het is verontrustend dat voor zoveel bedrijven de tijd begint te dringen om aan de wetgeving te voldoen. In een publicatie van de DNB van 31 oktober 2023 geeft de DNB aan dat organisaties nu uit de startblokken moeten komen (1). DORA is in januari 2023 in werking getreden en moet uiterlijk zijn geïmplementeerd vóór 17 januari 2025. Lukt dat niet, dan zijn er aanzienlijke boetes voor niet-naleving. Kritieke IT-dienstverleners die zich niet aan de regels houden, kunnen boetes krijgen tot 1% van de dagelijkse wereldwijde omzet van het bedrijf. Deze boetes kunnen dagelijks worden opgelegd totdat bedrijven compliant zijn. Boetes voor financiële instellingen worden bepaald door de individuele gebieden waarin ze gevestigd zijn en kunnen zelfs nog hoger uitvallen. Door reputatieschade en verlies van vertrouwen bij klanten kan het geheel nog kostbaarder zijn. Voor IT dienstverleners in de financiële sector is het voldoen aan de DORA eisen van vitaal belang ter bescherming van hun marktpositie.
Het bereik van DORA is uitzonderlijk breed en veel bedrijven zullen een aantal overwegingen moeten maken om aan de eisen te voldoen.
Ten eerste beschikken veel bedrijven niet over de capaciteit om cyberincidenten grondig en systematisch te beoordelen en de oorzaak te analyseren. Dit is een probleem, omdat bedrijven onder DORA moeten uitleggen hoe ze de kwetsbaarheid van hun IT-middelen voortdurend monitoren en beheren. Het is niet eenvoudig om de kloof tussen beiden te dichten.
Ten tweede moeten bedrijven aandacht besteden aan risicobeheer. Het risicobeheersysteem in DORA vereist solide en veerkrachtige processen voor het beheer van hun IT-middelen. Maar veel organisaties hebben momenteel geen duidelijk beeld van wat die bedrijfsmiddelen inhouden. De zichtbaarheid op de dataverwerking in hun systemen is in de loop van de tijd afgenomen doordat hun netwerken zijn uitgebreid, complexer zijn geworden, en omdat medewerkers zijn overgestapt op thuiswerken.
DORA introduceert een nieuwe reeks regels met betrekking tot het delen van informatie over bedreigingen en verplicht bedrijven om de Europese toezichthoudende instanties binnen strikte termijnen op de hoogte te stellen van de details van de gemaakte afspraken over het delen van informatie. Ook hier kunnen bedrijven die zich niet aan de regels houden boetes of administratieve maatregelen riskeren.
Tot slot moeten bedrijven een testprogramma implementeren dat de operationele veerkracht van hun IT-systemen aantoont. In sommige gevallen moet het testen worden uitgevoerd door een onafhankelijke partij voor financiële entiteiten. In andere gevallen moeten financiële instellingen hun IT-hulpmiddelen, -systemen en -processen minstens iedere drie jaar geavanceerd testen met dreiging gebaseerde penetratietests (conform TIBER-NL). Dit zal een uitdaging zijn voor veel bedrijven, omdat maar weinig organisaties penetratietestprogramma's hebben die voldoen aan de diepgang en breedte van de tests die door DORA worden vereist. Belangrijk is om kritieke IT-dienstverleners ook te betrekken in de tests.
Gezien het werk dat nodig is om compliant te worden, begint de tijd te dringen. Veel bedrijven zullen herstelwerkzaamheden moeten uitvoeren en overstappen op cyberoplossingen die voldoen aan de vereiste functionaliteit van DORA. Financiële dienstverleners moeten hun externe leveranciers controleren en assurance verkrijgen, aangezien DORA financiële instellingen verplicht ervoor zorgen dat hun hele toeleveringsketen compliant is.
Bedrijven moeten beginnen met het uitvoeren van een uitgebreide gap-analyse die gebieden identificeert die verdere investeringen en ontwikkeling vereisen. Aangezien DORA verstrekkend en zeer prescriptief is, ligt de grootste uitdaging in het bepalen van de benodigde wijzigingen en de daadwerkelijke verantwoording over de effectiviteit van de getroffen maatregelen. Financiële bedrijven moeten ook beginnen met het opstellen van een gedetailleerd register met informatie over hun IT-gerelateerde derde partijen die vereist zijn door DORA. Dit kan worden gebruikt om gebieden van niet-naleving binnen de toeleveringsketen te identificeren, zodat beslissingen kunnen worden genomen over wat er vervolgens moet gebeuren. Daarnaast worden de komende maanden diverse nadere technische standaarden vastgesteld die in detail beschrijven welke maatregelen te treffen ten aanzien van cybersecurity.
Met nog maar iets meer dan een jaar te gaan, is nu de tijd om in actie te komen.
(1) DORA; tijd om uit de startblokken te komen (dnb.nl)
Wilt u meer weten over DORA en hoe u zich hierop het beste kan voorbereiden? Neem dan contact op met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99 of met Jeffrey de Bruijn per e-mail of per telefoon +31 (0)88 277 11 27. Zij helpen u graag verder.
In een wereld die steeds meer afhankelijk is van digitale technologie, zijn de huidige cyberbeveiligingsstrategieën van de meeste organisaties niet langer voldoende om bedreigingen te bestrijden. Maak uw bedrijf klaar voor de toekomst door de cyberrisico's te begrijpen en te beheersen.
Iedereen kan een doelwit worden van cyberaanvallen, van grote bedrijven en overheidsinstellingen tot kleine ondernemingen en individuen. Met de toenemende dreiging hebben verzekeringsmaatschappijen producten ontwikkeld om bedrijven bescherming te bieden - cyberbeveiliging is zelfs een van de snelst groeiende takken van verzekeringen.
Wereldwijd zijn wij meer digitaal verbonden dan ooit tevoren. Naarmate de technologie zich ontwikkelt en bedrijven de digitale adoptie versnellen, neemt tegelijkertijd de omvang van cyberbedreigingen toe.
Door het digitaal verbinden van organisaties, individuen maar ook door apparaten ontstaan onderlinge afhankelijkheden en kwetsbaarheden en is er sprake van een digitaal ecosysteem. Hierbij geldt: ‘de keten is zo sterk als de zwakste schakel’. Het adequaat beheersen van securityrisico’s wordt steeds meer een randvoorwaarde om deel uit te kunnen maken van dit digitale ecosysteem.
Deze website maakt gebruik van cookies.
Sommige zijn noodzakelijk, andere helpen ons bij het analyseren van het gebruik van de website, dienen advertenties of zorgen voor een gepersonaliseerd websitebezoek.
In onze privacy policy vindt u meer informatie over de cookies die wij gebruiken.
Zonder deze cookies functioneert deze website niet optimaal.
Deze cookies helpen ons deze website te verbeteren door informatie te vergaren over het gebruik hiervan.
Met behulp van deze cookies kunnen wij de relevantie van onze advertenties vergroten.