Digitale weerbaarheid van jouw organisatie in de financiële sector vergroten: hoe implementeer je de DORA?
Ransomware-aanvallen, DDoS-aanvallen en online fraude maken de afhankelijkheid van digitale systemen en processen pijnlijk zichtbaar. Organisaties in de financiële sector treffen dan ook cybersecuritymaatregelen om de dreiging hiervan het hoofd te bieden. Wettelijk gezien volstond het tot voor kort om te voldoen aan de eisen van de AVG. In de praktijk blijken de genomen maatregelen vaak niet genoeg te zijn voor het dreigingslandschap waar een organisatie zich in bevindt.
Om de digitale weerbaarheid in de financiële sector te vergroten en de risico’s van cyberaanvallen te beperken heeft de Europese Commissie de Digital Operational Resilience Act (DORA) geïntroduceerd. De vereisten vanuit de DORA vragen veelal aanvullingen op het huidige cybersecuritybeleid. Het hebben van een firewall, antivirusprogramma en een standaard back-upbeleid zijn niet meer afdoende.
De DORA draagt bij aan verscherpte controle op het aantal cyberaanvallen. Er is aandacht voor de risico’s van uitbesteding aan ketenpartners door organisaties in de financiële sector. Met de invoering van de DORA ligt de verantwoordelijkheid voor het cybersecuritybeleid bij de bestuurders in plaats van bij de IT-afdeling, zoals nu vaak het geval is. Zij kunnen hoofdelijk aansprakelijk worden gesteld en op non-actief worden gezet door de AFM.
De vereisten vanuit de DORA
De DORA kent vijf pilaren. Vrijwel alle organisaties in de financiële sector moeten vanaf 17 januari 2025 voldoen aan eisen op vier van de vijf pilaren van de DORA. Hieronder volgt een korte toelichting per pilaar. Een uitgebreidere beschrijving vind je hier in de research paper van Partner in Compliance.
Ten eerste is er de pijler van risicomanagement. De huidige tekortkomingen, het dreigingslandschap en de cyberrisico’s dienen geanalyseerd te worden. Beleid en procedures moeten worden geformuleerd. Denk aan een nulmeting, een gap-analyse en een risicoanalyse vooraf. Een plan van aanpak voor een cyberaanval dient klaar te liggen. Alle belanghebbenden en hun verantwoordelijkheden moeten in kaart worden gebracht.
Vervolgens is er de pijler van testen en audits, waarbij periodieke weerbaarheidstesten, minimaal jaarlijks, moeten uitgevoerd worden door een onafhankelijk, intern of extern, team. Bij grote veranderingen zijn extra testen vereist. De uitkomsten van de testen en de audits zijn de basis voor het herschrijven van het securitybeleid.
Ketenpartners is de derde pijler. Het verkleinen van de kwetsbaarheid door cyberaanvallen op de digitale infrastructuur bij ketenpartners krijgt veel aandacht in de DORA. Contractuele afspraken met een ketenpartner moeten gemeld worden bij de AFM. De organisatie blijft zelf verantwoordelijk voor de digitale veiligheid van de data en moet de beveiligingsmaatregelen van de ketenpartners meenemen in de audits en andere controles.
De vierde pijler is meldplicht/ Cyberincidenten moeten gemeld worden bij de AFM. Van een eerste kennisgeving tot een eindverslag. Dit draagt bij aan het kunnen acteren, van onder andere de AFM, op cyberdreigingen in de financiële sector en aan het inzicht in de kwetsbaarheden en trends.
Tot slot is er de pijler van informatie-uitwisseling. De DORA geeft handvatten voor het veilig en goed gestroomlijnd onderling uitwisselen van informatie. Over bijvoorbeeld cyberdreigingen, effectieve beveiligingsmaatregelen en andere tips voor het vergroten van de digitale weerbaarheid. Het zijn handvatten, het is geen verplichting.
Aanbevelingen om jouw organisatie voor te bereiden op de uitdagingen van de DORA
Op basis van zijn kennis en ervaring heeft Partner in Compliance zes aanbevelingen geformuleerd om de uitdagingen die de DORA met zich meebrengt het hoofd te bieden. Ze helpen jouw organisatie zich te beschermen tegen digitale bedreigingen en te zorgen voor een robuuste digitale operationele veerkracht.
Ten eerste dienen bedrijven nú te starten met het verkrijgen van een duidelijk beeld van de vereisten vanuit de CORA en de eerste stappen te nemen om op 17 januari 2025 compliant te zijn aan de DORA. Bedrijven dienen hierbij de PDCA-cyclus te gebruiken (waarbij het compliant maken van het cybersecuritybeleid aan de DORA gezien moet worden als een continu verbeterproces.
De derde stap is het – waar nodig – reviewen en herzien van de contracten met ketenpartners. Tevens zouden bedrijven er goed aan doen om privacy vereisten vanuit de DORA én de AVG mee te nemen in het cybersecuritybeleid (en hierbij rekening te houden met de wisselwerking tussen beide verordeningen).
Vervolgens moeten bedrijven trainingen organiseren om het bewustzijn bij medewerkers over cybergevaren en over het beleid te vergroten. Ook bestuurders hebben trainingen nodig om hun kennis te vergroten waardoor ze in staat zijn de juiste beslissingen te nemen ten faveure van een digitaal veilige en weerbare organisatie. Tot slot dienen bedrijven een crisisplan op te stellen om, in het geval van een incident, snel en effectief op te kunnen treden.
Meer weten? Lees hier de research paper ‘Digitale weerbaarheid in de financiële sector’ van Partner in Compliance voor een uitgebreidere uiteenzetten over de vereisten van de DORA. Daarnaast gaat Partner in Compliance dieper in op de aanbevelingen om de uitdagingen voor de implementatie van de DORA het hoofd te bieden.