Zo kunnen financiële instellingen zich voorbereiden op DORA
Financiële dienstverleners zijn essentieel voor de moderne wereld, omdat ze kritieke systemen leveren aan bedrijven. Deze systemen moeten veerkrachtig en 24/7 beschikbaar zijn om het klantvertrouwen te behouden, bedrijfscontinuïteit te stimuleren en te voldoen aan regelgeving.
De Digital Operational Resilience Act (DORA), een verordening die de Europese Unie in januari 2023 introduceerde, wil dit ondersteunen door de digitale veerkracht van financiële instellingen zoals banken en verzekeringsmaatschappijen te vergroten. In juli 2024 volgde er een tweede reeks DORA-vereisten, waarin de extra stappen staan die financiële dienstverleners moeten nemen om aan de wet te voldoen. De uiterlijke deadline is 17 januari 2025, dus er is geen tijd te verliezen. Dienstverleners moeten snel handelen en de nodige investeringen doen om naleving te garanderen.
Het voordeel van DORA
Het doel van DORA is om de Europese financiële sector beter bestand te maken tegen ernstige verstoringen van bedrijfsactiviteiten, zoals AI-gedreven cyberaanvallen. Dit is van toepassing op alle financiële instellingen die diensten leveren in de EU. Bedrijven moeten DORA echter niet zien als de zoveelste nieuwe regelgeving.
De bedrijven die hebben geïnvesteerd in het opzetten van de processen en mogelijkheden die nodig zijn om aan deze wet te voldoen, zullen als beste duurzame relaties opbouwen en sterkere samenwerkingen aan kunnen gaan met hun consumenten. Door te voldoen aan de richtlijnen van DORA kunnen bedrijven best practices garanderen, wat uiteindelijk zal bijdragen aan een betere klantervaring en meer vertrouwen bij de consument.
Belangrijkste vereisten om aan de wet te voldoen
Cyberaanvallen komen steeds vaker voor en het is lastiger geworden om je ertegen te beschermen. Uit recent onderzoek van Dynatrace blijkt dat 72% van de CISO’s zegt dat hun bedrijf in de afgelopen twee jaar een probleem heeft gehad met applicatiebeveiliging, en het toenemende gebruik van AI maakt dit alleen maar erger.
Als financiële dienstverleners voldoen aan DORA, dan kunnen ze meer geavanceerde cyberdreigingen beter het hoofd bieden, gevoelige klantinformatie beschermen en het vertrouwen in financiële systemen behouden.
Om te voldoen aan de wet, moeten financiële dienstverleners zich aan het volgende houden:
- IT risicobeheer – Financiële dienstverleners moeten ervoor zorgen dat ze een robuust framework hebben om potentiële IT-dreigingen te identificeren, beoordelen en neutraliseren. Eén van de vereisten van DORA is dat bedrijven regelmatig digitale landschappen scannen om potentiële kwetsbaarheden te identificeren.
- Incidentrapportage – DORA vereist ook dat financiële dienstverleners een incident binnen 4 uur na classificatie melden, of uiterlijk 24 uur na het moment van detectie. Om dit te kunnen doen moeten financiële bedrijven de juiste tools hebben om dreigingen snel te identificeren, in plaats van te vertrouwen op handmatige detectie- en responsmogelijkheden.
- Operationele veerkrachttests – Regelmatige tests van operationele veerkracht zijn een andere belangrijke vereiste van DORA. Het dwingt financiële dienstverleners om cyberaanvallen en verstoringen binnen hun systemen te simuleren om kwetsbaarheden bloot te leggen.
Deze vereisten onderstrepen dat het voor financiële dienstverleners niet langer voldoende is om tijdens een jaarlijkse controle in een periode van twee weken naleving aan te tonen. DORA vereist een nieuwe benadering van naleving, waarbij bedrijven voortdurend voorbereid moeten zijn om op ieder moment snel en efficiënt te reageren.
Zorgen voor naleving
Het kan een uitdaging zijn om aan deze eisen te voldoen, met name voor bedrijven die nog steeds vertrouwen op traditionele benaderingen voor naleving van regelgeving en risicobeheer. Beveiligingsteams hebben vaak moeite om interne systemen effectief te monitoren om potentiële dreigingen snel te identificeren, waardoor het ook moeilijk is om incidenten snel te melden, in overeenstemming met DORA.
Het probleem is dat banken vaak beperkt zicht hebben in hun omgeving doordat hun systemen op complexe cloudomgevingen draaien. Blinde vlekken kunnen belangrijke bankdiensten verstoren, omdat ze kwetsbaarheden over het hoofd zien tot er zich een beveiligingsincident voordoet.
Deze uitdagingen worden groter door het voortdurende tekort aan cybersecurity-vaardigheden. Met beperkte aantallen medewerkers en DORA’s aangescherpte vereisten voor monitoring en incidentrapportage, zullen financiële dienstverleners moeite hebben om aan de eisen te voldoen als ze geen effectievere manier vinden om beveiligingsrisico’s te identificeren en erop te reageren.
Financiële bedrijven moeten hun beveiligings- en observability data samenbrengen op één plek, waar het kan worden gebruikt om geautomatiseerde runtime vulnerability analyses uit te voeren. Als ze dit doen, hebben financiële dienstverleners een duidelijke bron van realtime inzicht in potentiële dreigingen en beveiligingsincidenten. Financiële teams kunnen dan snel de ernst en impact van incidenten identificeren en deze informatie rapporteren om te voldoen aan DORA.
Het aftellen is al begonnen
Met nog slechts zes maanden te gaan moeten financiële instellingen hun voorbereidingen snel afronden als ze de deadline voor naleving willen halen. Maar DORA gaat niet om het afvinken van vakjes; het gaat om het creëren van een veilig en veerkrachtig bedrijf in het voortdurend veranderende dreigingslandschap.
De bedrijven die de waarde inzien van het omarmen van de best practices, zullen een basis kunnen bouwen voor blijvend succes, door proactief cyberaanvallen te voorkomen in plaats van ze op het laatste moment tegen te houden.
Een artikel van Dwight Maanster, Country Manager bij Dynatrace.
