DORA: De basis voor een veerkrachtige financiële sector

16 mei 2023 Banken.nl

De Europese Digital Operational Resilience Act (DORA) is sinds begin dit jaar van kracht. De verordening moet de financiële sector beter beschermen en weerbaarder maken tegen de steeds groter wordende cyberrisico's. Andere sectoren mogen hier een voorbeeld aan nemen.

Financiële instellingen die zich aan de regels voor DORA moeten houden, hebben tot 2025 om te voldoen aan alle vereisten uit de verordening. Het beoogde resultaat: betere beveiliging van digitale systemen en infrastructuur én goed voorbereide organisaties op de impact van cyberaanvallen en datalekken.

DORA is niet simpelweg een aanscherping van bestaande veiligheidsregels. Het is een verschuiving van de manier waarop bedrijven risico’s benaderen en hoe ze moeten reageren bij calamiteiten. Het gaat daarbij niet alleen om het detecteren van gevaar en beschermen van data, maar ook om veerkracht en herstel bij incidenten. Bijvoorbeeld na cyberaanvallen, natuurrampen, pandemieën of technische storingen.

James Hughes, Enterprise CTO

De vereisten uit DORA zijn opgedeeld in zeven punten: Bestuurlijke vereisten; Operationeel risicobeheer; Bedrijfscontinuïteit waarborgen; Essentiële bedrijfsactiviteiten in kaart brengen; Toezicht op ICT-risico van externe partijen; Incidentmanagement; en ICT-weerbaarheid.

Bestuurlijke vereisten

Veranderingen in een bedrijf beginnen bij het bestuur. De bedrijfstop moet effectieve simulaties uitvoeren van potentiële gevaren. Daarbij moet de nadruk liggen op het verminderen van de impact van zulke gebeurtenissen. Bestuurders moeten zelf intensief meedoen aan deze ‘rampoefeningen’, om zo bewustwording te creëren binnen het hele bedrijf.

Operationeel risicobeheer

Minder risico betekent meer veerkracht. Bedrijven moeten maatregelen nemen om cyberincidenten vroegtijdig te ontdekken, de schade te beperken en het herstel te bespoedigen in het geval van aanval. Het in kaart brengen van alle potentiële bedreigingen, inclusief het beperken van mogelijk menselijke fouten, zorgt voor effectief risicobeheer. 

Bedrijfscontinuïteit 

Het simuleren van  aanvallen is belangrijk. Testen met potentieel grote verstoringen is essentieel. Continuïteit van bedrijfsvoering moet daarbij centraal staan. Bedrijven testen nu al met regelmaat, maar ze slagen er lang niet allemaal in om effectief om te gaan met wat uit deze testen komt. Om dat te verbeteren moet er een plan komen waarbij continuïteit centraal staat en waarbij zowel interne als externe factoren een rol spelen. Vooral testen met externe factoren blijkt voor veel bedrijven een lastige klus. 

Essentiële bedrijfsactiviteiten in kaart brengen

Een piepkleine verstoring kan een heel bedrijf stilleggen. Als alle activiteiten, van processen tot productie en van menselijke fouten tot IT-systemen, tot in detail zijn geanalyseerd, wordt het risicogebied duidelijker. Het  is essentieel om te weten wat er nodig is om een bedrijf draaiende te houden. 

Toezicht op ICT-risico van externe partijen

Je eigen bedrijf kan nog zo goed beveiligd zijn; je bent altijd afhankelijk van de weerbaarheid en beveiliging van andere partijen. Vergelijk het met een rijles waarbij de instructeur zegt: “Ga ervan uit dat elke andere auto bestuurd wordt door iemand die niet kan rijden.” Dan word je zelf erg voorzichtig. Een uitstekend advies bij het aangaan van relaties met externe partijen. Hun weerbaarheid en beveiliging moet net zo goed op orde zijn als die van je eigen bedrijf. 

Incidentmanagement

Hoe goed je ook voorbereid bent, incidenten zullen er altijd zijn. Een rampenplan is onontbeerlijk. Dat moet in ieder geval het volgende bevatten: een inventarisatie van incidentresponse, classificatie van beveiliging, een herstelprocedure en een duidelijk communicatieplan (in- en extern).

ICT-weerbaarheid 

Het vermogen om te herstellen van een (grote) storing is een essentieel onderdeel van weerbaarheid. De oorzaak van die storing kan zelfs na het herstel nog in het systeem aanwezig zijn en weer  verstoringen veroorzaken, vooral als het gaat om malware die diep in het systeem gedrongen is. Zorg daarom dat je de status van de gegevens kent en beoordeel onophoudelijk of die in goede staat verkeert. Het volste vertrouwen hebben in data-recovery is essentieel. Dat verkleint het risico aanzienlijk.

Serieus nemen

De crux ligt bij dit plan bij punt vijf: de weerbaarheid en veiligheid van externe partijen. Heb je er als bedrijf vertrouwen in dat leveranciers veerkracht en veiligheid als topprioriteit hebben? Neem als voorbeeld een ICT-dienstverlener die cloudoplossingen aanlevert. Die is verantwoordelijk voor de veiligheid en weerbaarheid van hun systeem, maar niet voor de data van een ander bedrijf.

De vraag is of zij databeveiliging en operationele veerkracht net zo serieus nemen als je zelf doet? Wordt de data op dezelfde manier beschermd als bij je traditionele lokale systemen? Zo nee, waarom niet? Zou je je eigen data niet altijd in moeten kunnen zien op één plek? Het zou het leven voor het audit-team, operators en risicomanagers aanzienlijk eenvoudiger maken.

Operationele veerkracht is en blijft de hoeksteen van de financiële dienstverlening. Nieuwe wet- en regelgeving zoals DORA zorgt voor een stevig fundament wat betreft ICT en cybersecurity. Dat gaat ongetwijfeld zorgen voor robuustere bedrijven. Daar kunnen andere sectoren een voorbeeld aan nemen en zo risico’s beperken. 

Een artikel van James Hughes, Enterprise CTO, Rubrik. Rubrik is partner van het Leaders in Finance Cyber Security Event op 25 mei.