In het digitale tijdperk is het voor financiële instellingen essentieel om veerkrachtig te zijn tegen operationele risico's. Met de inwerkingtreding van de Digital Operational Resilience Act (DORA) op 17 januari, wordt een raamwerk geboden dat niet alleen aan wettelijke vereisten voldoet, maar ook financiële instellingen helpt hun digitale weerbaarheid te versterken.
Het is van groot belang dat zij DORA niet alleen als regelgeving beschouwen, maar als fundament voor het bouwen aan een veilige digitale toekomst. Hoe moeten organisaties zich voorbereiden op deze noodzakelijke transformatie?
DORA als baseline voor Digitale Weerbaarheid
DORA is ontworpen om een "level playing field" te creëren binnen de financiële sector. Het legt de nadruk op het belang van een holistische benadering van digitale weerbaarheid, waarbij technologie, processen en mensen centraal staan. Het doel van digitale weerbaarheid is om de impact van digitale verstoringen te minimaliseren en de continuïteit van essentiële operaties te waarborgen.
Dit stelt instellingen in staat om systeemrisico’s te verminderen en zorgt ervoor dat de dienstverlening aan klanten snel kan worden hervat. Hiermee wordt digitale weerbaarheid een randvoorwaarde voor innovatie. Voor financiële instellingen betekent dit dat ze DORA moeten beschouwen als een baseline — een minimumvereiste voor digitale weerbaarheid — en niet als een einddoel.
Om de weerbaarheid daadwerkelijk te verhogen en innovatie te bevorderen, moeten echter financiële instellingen verder gaan dan de wettelijke vereisten. Ze moeten investeren in geavanceerde technologieën en strategieën die hen in staat stellen om proactief te reageren op potentiële bedreigingen.
Interdisciplinaire samenwerking
Een van de belangrijkste randvoorwaarden voor digitale weerbaarheid is interdisciplinaire samenwerking. Financiële instellingen hebben door DORA de wettelijke verantwoordelijkheid om de weerbaarheid van het financiële systeem te waarborgen. Dit vraagt om een keten-aanpak waarin financiële instellingen samenwerken met ICT-dienstverleners en met andere financiële instellingen, bijvoorbeeld door het delen van gesignaleerde dreigingen en het melden van ICT-incidenten.
Binnen de financiële instelling kan digitale weerbaarheid alleen effectief worden bereikt door een holistische benadering, waarbij de volledige waardeketen van kritische systemen wordt geadresseerd. Alle schakels in de keten moeten harmonieus functioneren wat vraagt om een holistische perspectief. Een klein technisch component of een IT-incident bij een derde partij kan een groot gevolg hebben voor continuïteit. Een holistische perspectief op waardeketens vergroot algehele weerbaarheid, en vermindert de kans op den duur van operationele onderbrekingen.
Een vernieuwd operating model
Deze aanpak vraagt om vergaande samenwerking tussen verschillende afdelingen en kan niet bereikt worden wanneer teams in silo’s werken. Effectieve samenwerking tussen disciplines zoals IT, Cyber Security, Business Continuity Management en Risk Management is cruciaal voor het creëren van een veerkrachtige organisatie.
Andere belangrijke afdelingen, zoals Procurement, Legal en Internal Audit, spelen ook een essentiële rol in het voorkomen en herstellen van incidenten. Samen zorgen deze teams ervoor dat grote disrupties worden voorkomen en dat er snel kan worden gereageerd op incidenten, waardoor de organisatie zich kan aanpassen aan veranderende omstandigheden.
Deze samenwerking vraagt om meer afstemming en soms veranderingen in het operating model van de organisatie. Het is essentieel dat nieuwe communicatielijnen zijn opgezet, processen op elkaar zijn afgestemd en dat gezamenlijke doelstellingen zijn vastgesteld.
Kennis en verantwoordelijkheid: de sleutels tot digitale weerbaarheid
Om digitale weerbaarheid te borgen in de organisatie is voldoende kennis van zaken essentieel. Het bestuur heeft de verantwoordelijkheid voor weerbaarheid. Alle bestuursleden moeten zich goed bewust zijn van de digitale dreigingen, de risico’s en de maatregelen die de organisatie neemt om weerbaarheid te borgen. Het bestuur moet ook de Raad van Commissarissen en andere stakeholders voeden met betrouwbare informatie over de digitale weerbaarheid.
Daarnaast moeten zij ervoor zorgen dat medewerkers goed opgeleid zijn over risico's en hun rol in digitale weerbaarheid. Continue evolutie van bewustwordingscampagnes, uitvoeren van crisis simulaties en regelmatige doelgroepgerichte training helpen om een cultuur van weerbaarheid en veerkracht te creëren.
Innovatie en weerbaarheid: twee kanten van dezelfde munt
Om te kunnen innoveren is het essentieel dat de organisatie een stevige, weerbare basis heeft. Nieuwe technologieën zoals kunstmatige intelligentie (AI) en Quantum Computing bieden enorme kansen voor organisaties. Deze technologieën kunnen ook een ontwrichtend effect hebben als de digitale basis niet op orde is, zoals onvoldoende inzicht in toegangsvereisten of onveilige softwareontwikkeling.
Tegelijkertijd kunnen innovatieve technologieën gebruikt worden om de digitale weerbaarheid te verhogen. Twee voorbeelden zijn het vroegtijdig identificeren en mitigeren van bedreigingen door geavanceerde patroonherkenning, of risico’s beter in te schatten door middel van kwantitatief risicomanagement.
De volgende stappen
Ondanks dat DORA al ingetreden is, moeten organisaties in de financiële sector de volgende stappen overwegen:
- Prioriteer kritieke bedrijfsfuncties en processen: Review welke bedrijfsprocessen echt essentieel zijn om diensten aan klanten te leveren en de (financiële) stabiliteit van de organisatie en de sector te borgen. Borg hiermee een juiste prioritering van maatregelen.
- Voer risicoanalyses uit: Identificeer risico’s in de verschillende waardeketens die de digitale weerbaarheid kunnen beïnvloeden. Vul traditionele risicoanalyses aan met dreigingsinformatie, uitkomsten van Threat Led Penetration Tests en kwantitatieve data (bijvoorbeeld verwachte kosten).
- Stimuleer samenwerking: Creëer een cultuur die samenwerking bevordert door regelmatige cross-functionele vergaderingen te organiseren. Zorg daarnaast voor regelmatig overleg met kritieke ICT-dienstverleners en investeer samen in hogere weerbaarheid.
- Investeer in technologie: Zoek naar technologieën die de digitale weerbaarheid kunnen versterken. Prioriteer hierbij technologieën die het Zero Trust gedachtegoed ondersteunen en die voorbereiden op toekomstige technologische veranderingen.
- Opleiding en training: Zorg ervoor dat iedereen weet welke rol zij spelen in digitale weerbaarheid en wat zij kunnen doen om de digitale weerbaarheid van de organisatie te borgen en weten hoe zij nieuwe technologieën mogen en kunnen toepassen.
- Monitor en evalueer: Voer regelmatig evaluaties uit van de digitale weerbaarheid aan de hand van realistische tests en geautomatiseerde control tests. Pas strategieën, processen en technologieën aan waar nodig.
Conclusie
De Digital Operational Resilience Act biedt een unieke kans voor financiële instellingen om hun digitale weerbaarheid te versterken en als voorbeeld te dienen voor andere sectoren. Door DORA te beschouwen als een baseline voor digitale weerbaarheid en niet alleen als een wettelijke verplichting, kunnen organisaties een solide fundament leggen voor de toekomst.
Digitale weerbaarheid vraagt om een holistische aanpak waarbij samenwerking, innovatie en continue verbetering centraal staan. Dit is niet slechts een kwestie van compliance, maar een strategische noodzakelijkheid in een wereld waarin (digitale) dreigingen en de roep om hogere weerbaarheid steeds groter worden.
Een artikel van Deloitte.