DORA: Europese wetgeving voor financiele instellingen legt ook eisen op aan ICT-dienstverleners

Financiele instellingen, die doorgaans al aan veel beveiligingswetgeving voldoen, hebben extra huiswerk door DORA. DORA gaat dieper dan de NIS2-richtlijn, met specifieke en uniforme tests, wat een grondige en aantoonbare aanpak van cybersecurity vereist.

Belangrijke vereisten en veranderingen onder DORA

Risicokader

Een belangrijke vereiste onder DORA is de implementatie van een risicokader. Dit kader moet duidelijkheid verschaffen over de beveiligingsrisico's waaraan de organisatie wordt blootgesteld en welke passende maatregelen worden genomen. Raad van bestuur en management moeten actief worden geinfomeerd over de zich ontwikkelende tactieken van cybercriminelen.

Continuïteitsbeheer

Een andere belangrijke verandering onder DORA is de eis om een robuust continuiteitsplan te hebben. Dit plan moet beschrijven hoe het bedrijf zal reageren op incidenten, welke systemen cruciaal zijn, wat de herstelplannen zijn en welke afspraken er met leveranciers bestaan. Cruciaal is dat dit plan regelmatig in de praktijk wordt geoefend.

Effectieve detectiemechanismen

DORA vereist ook dat er effectieve detectiemechanismen worden opgezet binnen de IT-omgevingen van financiele instellingen. Dit betekent actieve monitoring om potentiele incidenten tijdig te detecteren.

Rapportage- en testverplichtingen

DORA stelt strenge eisen aan beveiligingstesten, met name aanvalssimulaties. Financiele instellingen moeten deze ten minste jaarlijks laten uitvoeren door een onafhankelijk intern of extern team. Elke drie jaar moet ook een geavanceerdere test worden uitgevoerd, gebaseerd op actuele dreigingsinformatie (TIBER-aanpak).

Naleving en sancties

Het niet naleven van DORA kan aanzienlijke gevolgen hebben in de vorm van boetes: tot 2% van de wereldwijde omzet, met een maximum van een miljoen euro voor individuen. Voor ICT-dienstverleners kunnen sancties oplopen tot vijf miljoen euro.

Aan de slag met DORA

Wilt u meer weten over DORA of andere cybersecuritywetgeving? Of wilt u de maatregelen bespreken die uw bedrijf moet nemen? Neem contact met ons op via [email protected].