Wat doen we met DORA (en NIS2)?

IT-security in het ecosysteem wordt een beleidsmatige én strategische pijler van financiële instellingen

Digitale weerbaarheid en cybersecurity. We hebben het er bij Solvinity heel vaak over. Sterker nog, we hebben IT-security voorop staan bij alles wat we doen. De kans is heel groot dat veel financiële instellingen voor de invoering van DORA IT-security ook voorop gaan stellen. In dit artikel lees je wat deze verordening nu anders maakt dan andere en wat je kunt doen om je goed voor te bereiden.

DORA: wat betekent het en voor wie verplicht

Op 17 januari 2025 moeten bedrijven voldoen aan de Digital Operations Resilience Act (DORA). DORA is een aanvulling op NIS2 en GDPR met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en weerbaarder worden tegen cyberdreigingen. DORA legt een uniforme set standaarden op voor het leveren van digitale financiële diensten, stroomlijnt de bestaande cybersecurity-regels binnen de sector en verplicht financiële dienstverleners en hun partners in de keten tot uniforme rapportering.

De DORA is van toepassing op 21 verschillende typen bedrijven in de financiële sector, van kredietinstellingen en betalingsinstellingen tot aanbieders van cryptoactivadiensten, verzekeraars- en verzekeringstussenpersonen, pensioenfondsen beleggingsondernemingen, beleggingsinstellingen en handelsplatformen. De partners in de keten zijn bijvoorbeeld softwareleveranciers, FinTech/InsurTech bedrijven en cloud service providers zoals Solvinity.

Jazeker – het gehele financiële ecosysteem

Die aandacht voor de hele keten maakt deze verordening anders. DORA richt zich expliciet op dit ecosysteem, wetende dat het geheel zo sterk is als de zwakste schakel. Er is geen bank, verzekeraar, pensioenfonds of beleggingsfonds -om er maar een paar te noemen- die zijn IT-voorziening voor 100% in eigen hand heeft. Sterker nog: de gemiddelde verzekeraar (> 1000 mdw) gebruikt gemiddeld 100 verschillende softwaretoepassingen. De FinTech markt in Nederland bestaat sinds begin 2023 uit 861 bedrijven. Daarnaast zijn er diverse cloudproviders en IT-dienstverleners die ook hun rol spelen in het faciliteren van digitale (geld- en informatie) stromen.

Financiële instellingen moeten hun gehele IT-landschap in kaart hebben om de risico’s inzichtelijk te krijgen. Gelukkig hebben alle deelnemers in het ecosysteem een gedeeld belang: het beschermen van hun reputatie en continuïteit.

"Organisaties moeten specifieke afspraken en risicobeheerpraktijken voor derde partijen in het financiële ecosysteem vaststellen en controleren."

Zijn het nou vijf of zes pijlers?

De wetgeving omvat vijf pijlers. Maar in één van die pijlers, te weten “ICT-risicobeheer” wordt expliciet “Governance” benoemd, daarom wordt het soms wel de zesde pijler genoemd. Juist deze is zo belangrijk omdat hierin de verantwoordelijkheid duidelijk wordt belegd. Sterker nog, degenen die verantwoordelijk zijn voor het ICT-risicobeheer moeten daadwerkelijk deze rol op zich nemen en kunnen daarop aangesproken worden door de regelgevers. Dit houdt in dat van bestuurders het een en ander wordt verwacht en zij zich mogelijk moeten “bijscholen” op IT-gebied. Het maakt IT-security daadwerkelijk tot een “board issue” en daarmee wordt de kloof tussen de business en security hopelijk een stukje kleiner.

De vijf pijlers zijn:

Vereisten inzake ICT-risicobeheer (inclusief Governance): Vergelijkbaar met het NIST-model, omvat dit het opzetten van proactief risicobeheer met IT-systemen en processen om risico’s te identificeren, te minimaliseren en voorbereid te zijn op incidenten. Governance speelt een cruciale rol, waarbij leidinggevenden actief betrokken zijn en beschikken over de juiste kennis en vaardigheden.
Beheren, classificeren en rapporteren van ICT-gerelateerde incidenten: Deze pijler richt zich op de reactie op incidenten en het verminderen van hun impact. Organisaties moeten een gestructureerd proces hebben voor het monitoren, behandelen en documenteren van ICT-gerelateerde incidenten. Dit omvat zowel preventieve maatregelen als het leren van incidenten voor toekomstige verbeteringen.
Tests op digitale operationele veerkracht: Digitale systemen moeten regelmatig getest worden om hun veerkracht te waarborgen. Het omvat zowel standaard vulnerability scans als “dreigingsgestuurde penetratietests.” Belangrijke systemen moeten minstens jaarlijks worden getest, met frequente evaluaties van kwetsbaarheden en bedreigingen.
Monitoring ICT-risico van derde aanbieders: Organisaties moeten specifieke afspraken en risicobeheerpraktijken voor derde partijen in het financiële ecosysteem vaststellen en controleren. Onder ‘derde aanbieders’ worden onder andere leveranciers van cloudcomputing-, software- en datacenters verstaan.
Uitwisseling van informatie: De informatie-uitwisseling over cyberaanvallen en kwetsbaarheden tussen organisaties, autoriteiten en netwerken moet worden bevorderd. Bedrijven moeten de informatie die ze ontvangen, actief gebruiken om hun digitale veerkracht te verbeteren, wat bijdraagt aan collectieve cyberbeveiliging.

"Ook de zorgplicht vraagt het een en ander van organisaties zoals het monitoren van de systemen en het implementeren van passende beveiligingsmaatregelen om cyberdreigingen te voorkomen en te beperken."

Een Security Gap Analyse voor een betere roadmap

Een goede voorbereiding is het halve werk. Het begint bij het vergelijken van je huidige staat van IT-maatregelen en de vereisten onder DORA. Op basis hiervan kun je je roadmap naar januari 2025 opstellen en in een goed tempo naar compliance toewerken. In samenwerking met Securify kan Solvinity Security Gap Assessments uitvoeren op basis van CIS controls die organisaties inzicht geeft zodat zij op gestructureerde en geprioriteerde wijze hun weerbaarheid kunnen verhogen.

Op het gebied van IT-security hebben we naast kennis en ervaring, certificeringen en SOC 1 en SOC 2 assurance rapportages en een portfolio van aanvullende securitydiensten. Zo beschikken we als enige Nederlandse aanbieder over een SOC 2 assurance op door ons beheerde Microsoft Azure-omgevingen waarmee we financiële instellingen met hybrid cloud platformen ondersteunen bij het verhogen van hun weerbaarheid. Daarnaast leveren we met Securify als preventiespecialist een unieke op risico gebaseerde aanpak op basis van continue reality checks. Samen creëren en implementeren we een preventie-roadmap, waarmee je jouw weerbaarheid op code-, app-, infra- en organisatieniveau vergroot.

Wil je weten hoe wij jou kunnen helpen om inzicht te krijgen in jouw weerbaarheid? Neem dan contact met ons op.

NIS2 en DORA

Hoe verhoudt deze regelgeving zich tot elkaar?

De NIS2 wil de continuïteit en integriteit van vitale sectoren waarborgen zoals financiële instellingen en de infrastructuur voor de financiële markt. De NIS2-richtlijn bestaat kort gezegd uit een meldplicht en een zorgplicht. NIS2 omvat naast melden van een een datalek (zoals verplicht in NIS1) ook het melden van een ransomware-aanval of misbruik van een kwetsbaarheid. Met het delen van die informatie kunnen bedrijven van elkaar leren hoe ze hun beveiliging kunnen verbeteren. Ook moeten bedrijven die onder NIS2 vallen, sneller inbreuken rapporteren en bewijzen dat ze alle nodige voorzorgen genomen hebben. Niet alleen bij zichzelf, maar ook in de keten van IT- en andere leveranciers waar zij mee samenwerken.

Ook de zorgplicht vraagt het een en ander van organisaties zoals het monitoren van de systemen en het implementeren van passende beveiligingsmaatregelen om cyberdreigingen te voorkomen en te beperken. Denk aan toegangscontrole, incidentresponsplannen en penetratietesten.

De DORA is een zogenaamde ‘lex specialis’ ten opzichte van de NIS2. De DORA schrijft gedetailleerdere regels voor dan de NIS2 en waar DORA specifieker is, heeft DORA voorrang.