DORA: Europese wetgeving voor financiële instellingen legt ook eisen op aan ICT-dienstverleners

Met minder dan een jaar te gaan tot de implementatiedeadline van DORA, hebben financiële instellingen, die doorgaans al aan veel beveiligingswetgeving voldoen, extra huiswerk. De tweede versie van DORA wordt halverwege dit jaar gepubliceerd, wat meer duidelijkheid zal geven over de exacte vereisten. Financiële instellingen en andere betrokken partijen doen er verstandig aan dit nauwlettend te volgen, zodat zij zich kunnen voorbereiden op naleving.

Belangrijke vereisten en veranderingen onder DORA

Een belangrijke vereiste onder DORA is de implementatie van een risicokader. Dit kader moet duidelijkheid verschaffen over de beveiligingsrisico's waaraan de organisatie wordt blootgesteld en welke passende maatregelen worden genomen.

Raad van bestuur en management moeten actief worden geïnformeerd over de zich ontwikkelende tactieken van cybercriminelen en de specifieke bedreigingen die relevant zijn voor de onderneming. DORA-verplichte organisaties moeten toegang hebben tot een 'threat intell feed' zodat zij dreigingsinformatie op een gestructureerde manier kunnen ontvangen en anticiperen. Grotere banken en verzekeraars hebben vaak een toegewijd team voor het verzamelen en analyseren van dreigingsinformatie. Kleinere organisaties zullen deze informatie mogelijk extern moeten inkopen, waarbij Managed Detection & Response (MDR) dienstverleners een waardevolle rol spelen in het delen en interpreteren van dreigingsinformatie.

Deze risicokaderbenadering wordt steeds vaker gezien als onderdeel van nieuwe Europese wetgeving en markeert een positieve trend. In plaats van alleen specifieke maatregelen voor te schrijven, leggen de regels nu de nadruk op een grondige risicoanalyse als eerste stap. Deze ontwikkeling bevordert een meer doordachte benadering van cybersecurity, waarbij maatregelen worden genomen op basis van een goed onderbouwd begrip van het risicolandschap van een organisatie.

Continuïteitsbeheer

Een andere belangrijke verandering onder DORA is de eis om een robuust continuïteitsplan te hebben. Dit plan moet beschrijven hoe het bedrijf zal reageren op incidenten, welke systemen cruciaal zijn voor de bedrijfsvoering, wat de herstelplannen zijn en welke afspraken er met leveranciers bestaan over de continuïteit van hun diensten. Cruciaal is dat dit plan regelmatig in de praktijk wordt geoefend, zoals voorgeschreven door DORA. In de praktijk blijkt vaak dat er nog veel geregeld moet worden. Het is essentieel om communicatieprotocollen te overwegen, zoals het verzamelen van alternatieve contactgegevens voor het geval e-mail niet beschikbaar is, en het aanwijzen van vervangende verantwoordelijkheden bij afwezigheid van sleutelpersoneel. Grotere financiële instellingen hebben vaak al veel geregeld om hun continuïteit te waarborgen, maar dit zal aanzienlijke extra inspanning vergen van middelgrote en kleinere financiële instellingen.

Effectieve detectiemechanismen

DORA vereist ook dat er effectieve detectiemechanismen worden opgezet binnen de IT-omgevingen van financiële instellingen. Dit betekent actieve monitoring om potentiële incidenten tijdig te detecteren. Veel grotere instellingen beschikken over een eigen Security Operations Center of hebben een derde partij ingehuurd die verantwoordelijk is voor monitoring, detectie en respons. Voor partijen die nog niet over eigen of gecontracteerde detectiemogelijkheden beschikken, is versnelde ontwikkeling van interne capaciteit of uitbesteding noodzakelijk.

Rapportage- en testverplichtingen

Een andere verandering onder de DORA-wetgeving is de meldplicht bij incidenten. Hoewel de exacte termijnen nog moeten worden vastgesteld, zijn de vereisten duidelijk: een eerste melding van een incident, gevolgd door tussentijdse rapportages over wijzigingen, en uiteindelijk een gedetailleerd rapport over de oorzaken, genomen mitigatiemaatregelen en een analyse van de impact.

Naast de meldplicht stelt DORA ook strenge eisen aan beveiligingstesten, met name aanvalssimulaties. Financiële instellingen moeten deze ten minste jaarlijks laten uitvoeren door een onafhankelijk intern of extern team. Elke drie jaar moet ook een geavanceerdere test worden uitgevoerd, gebaseerd op actuele dreigingsinformatie. Een voorbeeld van zo'n test is TIBER (Threat Intelligence Based Ethical Red Teaming), gebaseerd op het testkader van De Nederlandsche Bank, geïnspireerd op de oorspronkelijke Britse methode, die nu ook een EU-variant kent (TIBER.EU). Deze tests zijn bedoeld om aanvallen door meer geavanceerde actoren zo realistisch mogelijk te simuleren, voornamelijk om de effectiviteit van verdedigingsmechanismen te testen. Dit type test mag alleen worden uitgevoerd door gecertificeerde teams met aantoonbare ervaring in realistische aanvalssimulaties.

Naleving

In lijn met de meldplicht is ook de mogelijkheid van sancties een belangrijke verandering. Het niet naleven van de Digital Operational Resilience Act kan aanzienlijke gevolgen hebben in de vorm van boetes. Deze boetes kunnen oplopen tot 2% van de wereldwijde omzet, met een maximum van één miljoen euro voor individuen. Voor ICT-dienstverleners kunnen sancties oplopen tot vijf miljoen euro, met een mogelijkheid van een half miljoen voor individuen die verantwoordelijk worden gehouden voor niet-naleving. Deze financiële sancties benadrukken het belang van tijdige en grondige naleving van DORA-regelgeving om de operationele veerkracht en cybersecurity van financiële instellingen en ICT-dienstverleners te waarborgen.

Aan de slag met DORA

DORA heeft een grote impact op organisaties binnen de financiële sector en daarbuiten. Terwijl grote banken en verzekeraars al grotendeels aan vergelijkbare eisen voldoen, zullen kleinere instellingen zoals crypto-exchanges en ICT-dienstverleners aanzienlijk meer inspanningen moeten leveren om aan de nieuwe normen te voldoen. Dit geldt ook voor derden, die nu ook onder verplichte naleving vallen. DORA gaat dieper dan de NIS2-richtlijn, met specifieke en uniforme tests, wat een grondige en aantoonbare aanpak van cybersecurity vereist.

Voor middelgrote en kleinere financiële instellingen betekent dit dat er veel werk aan de winkel is. Het implementeren van een effectieve strategie vergt tijd en toewijding, waarbij de raad van bestuur en het management een cruciale rol spelen en actief verantwoordelijk zijn voor de naleving van de DORA-vereisten. Het waarborgen van beveiliging moet gebaseerd zijn op een risicomanagementbenadering, met de mogelijkheid om te vertrouwen op een intern of extern Security Operations Center, het monitoren en anticiperen op actuele dreigingen, en het ondersteunen van incidentvoorbereiding met gerichte continuïteitsmaatregelen en effectiviteitstesten. Dit alles om incidenten tijdig te kunnen detecteren en melden en boetes als gevolg van niet-naleving te voorkomen.

Meer informatie of advies?

Wilt u meer weten over DORA of andere cybersecuritywetgeving? Of wilt u de maatregelen bespreken die uw bedrijf moet nemen? Neem contact met ons op via [email protected].