18 juni 2024

5 Focuspunten voor DORA​

Je voorbereiding per pijler van DORA

Als IT-professional in de financiële sector is het cruciaal om je voor te bereiden op de nieuwe eisen van de Digital Operational Resilience Act (DORA). Deze wetgeving stelt strenge eisen aan risicobeheer, incidentrapportage, en operationele veerkracht. In dit artikel bespreken we de vijf pijlers van DORA en wat jij moet doen om compliant te zijn en je digitale weerbaarheid te verhogen. Lees verder om te ontdekken hoe je je organisatie kunt beschermen en versterken.

1. Vereisten inzake ICT-risicobeheer (inclusief Governance):

Als IT-professional moet je een grondige risicobeoordeling uitvoeren om potentiële ICT-risico’s te identificeren. Dit omvat het analyseren van interne en externe bedreigingen, kwetsbaarheden in systemen en processen, en de mogelijke impact van ICT-gerelateerde incidenten. Hiervoor kun je een Security Gap Analyse uitvoeren. 

Ook moet je beleidsrichtlijnen voor ICT-risicobeheer en governance opstellen die de strategieën, procedures en verantwoordelijkheden voor het beheren van risico’s binnen de organisatie definiëren. Bijvoorbeeld het vaststellen van richtlijnen voor gegevensbeveiliging, toegangscontrole, naleving van wet- en regelgeving en andere aspecten van ICT-risicobeheer. 

Voor de besluitvorming en verantwoordelijkheden voor ICT-risicobeheer moet een effectieve governancestructuur geïmplementeerd zijn. Hieronder valt het vaststellen van rollen en verantwoordelijkheden binnen de organisatie, het benoemen van een ICT-risicobeheercomité of -team, en het instellen van regelmatige rapportage- en monitoringmechanismen. 

Daarnaast moet je als IT-professional passende beveiligingsmaatregelen implementeren om ICT-risico’s te verminderen en de operationele veerkracht te verbeteren. Dit omvat het gebruik van firewalls, antivirussoftware, authenticatie- en toegangscontrolesystemen, versleutelingstechnologieën en andere beveiligingshulpmiddelen om de IT-infrastructuur te beschermen tegen externe bedreigingen. 

Je moet dus een brede blik hebben op de totale IT-omgeving, van applicatie tot organisatie. Alleen dan ben je in staat om proactief risico’s te identificeren, beoordelen en beheren. Dit is een continu proces waarbij de ICT-risico’s en de effectiviteit van beveiligingsmaatregelen continu gemonitord en geëvalueerd worden. 

2. Beheren, classificeren en rapporteren van ICT-gerelateerde incidenten

Onder deze pijler valt bijvoorbeeld het opstellen van een incident response plan dat de procedures en verantwoordelijkheden voor het omgaan met incidenten duidelijk beschrijft. Dit omvat het identificeren van de soorten incidenten die kunnen optreden, zoals datalekken, cyberaanvallen, systeemstoringen, enzovoort. Met pentesten kun je potentiële zwakke punten identificeren en corrigerende maatregelen nemen. 

Om de ernst en impact op de organisatie te bepalen moet je incidenten classificeren. Dit helpt bij het prioriteren van de respons en het toewijzen van de juiste middelen om het incident aan te pakken. Classificatiecriteria kunnen onder meer de potentiële financiële impact, klantgegevens die zijn getroffen, operationele verstoringen en nalevingsvereisten omvatten. 

Alle incidenten moet je nauwkeurig documenteren en registreren. Dit omvat het vastleggen van relevante details zoals de aard van het incident, de getroffen systemen of gegevens, de tijdstempel van het incident, de reactieacties die zijn ondernomen, enzovoort. 

Je moet ervoor zorgen dat je incident response procedures voldoen aan wettelijke vereisten, zoals meldingsverplichtingen aan toezichthoudende instanties en betrokken partijen zoals klanten en partners. Dit houdt bijvoorbeeld in dat je incidenten binnen een bepaalde termijn moet melden en daarvoor specifieke rapportageformats worden gebruikt. 

"Als onderdeel van de compliance-verplichtingen onder DORA moet je rapporteren over de uitgevoerde tests en de genomen maatregelen aan de relevante toezichthoudende instanties."
3. Tests op digitale operationele veerkracht

Om de veerkracht en weerbaarheid van de IT-systemen tegen bijvoorbeeld cyberaanvallen, systeemstoringen en andere verstoringen te testen, moeten IT-professionals verschillende tests uitvoeren en een gedetailleerd testplan opstellen dat verschillende scenario’s en aanvalstechnieken omvat die relevant zijn voor je organisatie. 

Hiervoor moet je overigens gekwalificeerde en onafhankelijke partijen inschakelen om penetratietests, security gap analyses uit te voeren en de resultaten beoordelen. Door de bevindingen van de tests grondig te analyseren kun je de geïdentificeerde kwetsbaarheden verhelpen. 

Als onderdeel van de compliance-verplichtingen onder DORA moet je rapporteren over de uitgevoerde tests en de genomen maatregelen aan de relevante toezichthoudende instanties. 

4. Monitoring ICT-risico van derde aanbieders

Je begint met een inventarisatie van alle derde partijen waarmee je samenwerkt en de ICT-gerelateerde diensten die zij leveren. De samenwerking met derde partijen, zoals leveranciers, serviceproviders en partners kan risico’s opleveren die je moet identificeren, evalueren en beheren. 

Vervolgens voer je een risicobeoordeling uit om de potentiële impact van verstoringen bij deze partijen op de operationele veerkracht van jouw bedrijf te beoordelen. Dit kun je doen met het uitvoeren van pentesten op systemen en diensten die door derde partijen worden geleverd. Dit is een continu proces waarbij je blijft monitoren om eventuele veranderingen in de risicoprofielen van derde partijen te identificeren en tijdig te reageren op nieuwe risico’s. 

Met het opstellen van SLA’s met duidelijke afspraken over beschikbaarheid, beveiliging en rapportage kun je ook maatregelen implementeren om de risico’s van derde partijen te beperken. Overigens moet je ook over over de monitoring van ICT-risico’s van derde partijen rapporteren als onderdeel van de compliance-verplichtingen onder DORA. 

"Ook moet je zorgen voor transparantie en openheid in de communicatie met autoriteiten en andere belanghebbenden om het vertrouwen te vergroten en de samenwerking te verbeteren."
5. Uitwisseling van informatie

Deze pijler gaat over de uitwisseling van informatie tussen financiële instellingen en relevante autoriteiten. Het houdt in dat je een gestructureerd proces moet opzetten voor het verzamelen, analyseren en rapporteren van informatie over ICT-gerelateerde incidenten en operationele verstoringen.  

Daarnaast moet je procedures implementeren voor het delen van informatie met derde partijen, zoals leveranciers en partners, om gezamenlijke risico’s aan te pakken en incidenten snel te kunnen oplossen. Hier hoort ook bij het vaststellen van communicatiekanalen met partijen zoals DNB en AFM, om incidenten te melden en informatie uit te wisselen. Ook moet je zorgen voor transparantie en openheid in de communicatie met autoriteiten en andere belanghebbenden om het vertrouwen te vergroten en de samenwerking te verbeteren. 

Wees je ervan bewust dat je ernstige incidenten binnen 4 uur moet melden!  

Meer weten?

Wil je meer weten over DORA en hoe wij je verder kunnen helpen zodat jij de digitale transformatie van jouw bedrijf goed kan ondersteunen? Bekijk deze video waarin Martin Maas, CISO en Kees Stammes, Managing Director van Securify je hierover meer vertellen.

Background Icon