End-to-end zichtbaarheid en de weg naar DORA-compliance
Vanaf 17 januari is de Europese Digital Operational Resilience Act (DORA) officieel van kracht. Financiële dienstverleners en ICT-leveranciers moeten nu voldoen aan deze wetgeving. De financiële sector leunt, net als veel andere sectoren, zwaar op technologie en daarmee op de bedrijven die die technologie leveren.
Digitalisering heeft veel voordelen gebracht, zoals verbeterde klantervaringen en meer operationele efficiëntie. Tegelijkertijd heeft dat geleid tot complexe IT-structuren die lastig te beheren en beveiligen zijn. Omdat de sector een cruciale rol speelt in nationale, regionale en wereldwijde economieën, hebben verstoringen vaak grote gevolgen.
DORA speelt hierop in door de IT-beveiliging van banken, verzekeraars en beleggingsondernemingen in Europa te versterken. Dit moet de operationele veerkracht verbeteren en de impact van IT-verstoringen beperken. Die verstoringen zijn geen kwestie van ‘of’, maar van ‘wanneer’: de financiële sector heeft wereldwijd in de afgelopen 20 jaar meer dan 20.000 cyberaanvallen ondergaan. Dit heeft geresulteerd in $12 miljard aan verliezen, waarbij het aantal aanvallen sinds de pandemie verdubbelde.
Aanvallen en uitval veroorzaken problemen als omzetverlies, verstoringen in bedrijfsactiviteiten, imagoschade bij klanten en stakeholders en steeds vaker boetes van toezichthouders.
De uitdagingen van DORA-compliance
Nieuwe regels zoals DORA zijn verplicht, maar dat betekent niet dat naleving eenvoudig is. Organisaties lopen tegen vier grote obstakels aan:
Complexe omgevingen: financiële instellingen werken met talloze applicaties, hybride cloudinfrastructuren en externe leveranciers. Meer dan de helft (54%) verwacht dat deze complexiteit binnen 12 maanden verder toeneemt. Dit vergroot beveiligingsrisico’s en bemoeilijkt governance. 84% van de IT-leiders geeft aan dat multi-cloudomgevingen het lastig maken om applicaties te beschermen tegen kwetsbaarheden en cyberaanvallen. Hierdoor wordt ook het halen van strakke deadlines voor rapportages binnen DORA (binnen 24 uur) moeilijker.
Beveiliging van de supply chain: DORA legt ook nadruk op risico’s bij externe ICT-leveranciers. Financiële instellingen hebben echter beperkte controle over hun beveiligingspraktijken. Effectief risicobeheer vereist stevige contracten en continue monitoring van deze leveranciers.
Overbelasting van teams: DORA-compliance vraagt om experts, geavanceerde technologieën en forse investeringen. Strakke rapportagetermijnen belasten teams extra, wat innovatie en de klantervaring onder druk zet.
Nieuwe administratieve lasten: het beheren van wijzigingen en processen rondom de nieuwe regels kost tijd en is foutgevoelig. Naleving van DORA moet naadloos aansluiten op bestaande risicomanagementprocessen en continuïteitsstrategieën om efficiënt middelen in te zetten.
De belofte van observability
End-to-end observability biedt een oplossing. Het geeft teams inzicht in de complete tech stack van een organisatie. Deze transparantie maakt duidelijk wat er in de IT-omgeving gebeurt.
Onder DORA is alleen reageren op incidenten niet genoeg. Proactief risicomanagement wordt de norm. Problemen opsporen en aanpakken voordat ze escaleren, is essentieel. Door observability te combineren met beveiliging kunnen organisaties met AI-ondersteunde anomaliedetectie risico’s in real-time identificeren.
Dit voorkomt dat problemen uitgroeien tot incidenten die compliance-regels schenden. Daarnaast verlicht automatisering binnen observability-platforms de administratieve druk en helpt het personeel door de complexiteit van IT-omgevingen te beheersen.
Conform en effectief zijn
DORA is een blijvende realiteit. Organisaties moeten voldoen, maar kunnen zelf kiezen hoe ze dat aanpakken. Dit begint met een volledig overzicht van de IT-omgeving: zo worden beveiligingsrisico’s zichtbaar en kan de uitvoering van regelgeving efficiënt verlopen. Door observability en beveiliging te combineren, krijgen organisaties volledig inzicht in hun IT-omgeving. Daarmee kunnen ze risico’s actief beheersen, incidenten voorkomen en operationele veerkracht vergroten.
Een artikel van Bob Wambach, VP Product Portfolio bij Dynatrace.
