Wat is DORA?

Wat is DORA?

  • Auteur: Zoë Vangangelt
  • Datum: 08 nov 2023
  • 3 min
|

De Digital Operational Resilience Act, ook wel bekend als DORA, is een nieuw Europees wetvoorstel ontwikkeld om de cyberveiligheid en operationele weerbaarheid van financiële dienstverleners op het gebied van informatie- en communicatietechnologie (ICT) te verbeteren. DORA heeft als doel om de manier waarop financiële dienstverleners ICT-risico’s intern en extern beheren te verbeteren om er zo voor te zorgen dat het internationale financiële systeem van de EU beter wordt beveiligd.

Waarom werd DORA in het leven geroepen?

Aangezien ICT-diensten en -platformen van fundamenteel belang zijn voor de levering van moderne financiële diensten is DORA opgericht om de cyberweerbaarheid in de financiële sector te versterken. Het wetvoorstel zorgt ervoor dat de financiële instellingen en hun leveranciers over de nodige veiligheidsmaatregelen beschikken om de risico’s van een cyberaanvallen in te perken.

Wanneer treedt het in werking?

Het wetvoorstel treedt op 17 januari 2025 in werking. Er geldt een goedkeuringstermijn van 24 maanden.

Welke acties moet je als financiële instelling ondernemen?

De wet vereist dat financiële organisaties, als onderdeel van hun contractvoorwaarden, datalekken binnen een bepaalde tijd na ontdekking moeten melden aan toezichthouders, leveranciers en dienstverleners. Als een organisatie niet bereid is om deze voorwaarden te accepteren, verbiedt DORA financiële instellingen om zaken met hen te doen.

Vereisten van DORA.

Vijf belangrijke aandachtspunten binnen DORA:

Risicobeheer – Dit onderdeel richt zich op het uittekenen van een strategie om zich te kunnen voorbereiden op de geïdentificeerde risico’s binnen derde partijen en essentiële leveranciers succesvol te beoordelen

Incidentenbeheer – Incidentenbeheer zorgt voor degelijke processen en procedures om incidenten te identificeren, beoordelen, evalueren en beheren zodat deze aan klanten of de toezichthouder kunnen worden gerapporteerd.

Het is aanbevolen om een Cyber Security Operations Center (CSOC) in te schakelen. Een CSOC kan potentiële problemen of incidenten middels automatisering in een vroeg stadium detecteren en verhelpen. Een CSOC kan als het ware de hoofdoorzaak van een incident analyseren om te achterhalen wat er is gebeurd, hoe het is gebeurd en wat er kan worden gedaan om dergelijke incidenten te voorkomen. De problemen en/of incidenten worden vervolgens gemeld aan de juiste instanties, zowel intern als extern.

Het testen van Digital Operational Resilience – Het is essentieel om Digital Operational Resilience te testen, maar deze stap wordt vaak over het hoofd gezien. Het uittekenen van een actieplan, en waar nodig, testen en bijsturen is een stap in de goede richting. Zo kunnen de betrokken teams, zowel intern als extern, actie ondernemen mocht er zich een incident voordoen.

Risicobeheer van derde partijen – Dit onderdeel richt zich op het uittekenen van een strategie om te plannen voor geïdentificeerde risico’s binnen derde partijen en essentiële leveranciers succesvol te beoordelen.

Dergelijke strategie kan worden uitgezet door middel van cloudplatformen van Microsoft, Google of AWS, SaaS-aanbieders, maar ook managed serviceproviders die nauw geïntegreerd zijn met IT-teams en de IT-infrastructuur. Organisaties moeten ervoor zorgen dat het incidentenbeheer zich ook tot deze diensten richt, en dat het risicomanagement, de risicobeperkingen, controles en processen binnen je externe partij voldoen aan de wet- en regelgeving.

Het volgende aandachtspunt is operationele weerbaarheid. Hoe zorgen bedrijven ervoor dat de processen en procedures die nodig zijn om weerbaar te zijn aanwezig zijn? Hoe zien deze eruit? Dit is mogelijk door middel van beschikbaarheid en back-upsystemen die snel kunnen herstellen van problemen en die goed getest kunnen worden. Het is belangrijk dat key stakeholders bekend zijn met het plan. Als bedrijven vaker testen kunnen ze meer reflecteren waardoor ze beter en sneller kunnen reageren op risico’s. 

Delen van informatie en kennis – Eén van de belangrijkste aandachtspunten van DORA is dat financiële dienstverleners informatie over incidenten, kwetsbaarheden en best practices met elkaar delen. Zo kunnen bedrijven van uiteenlopende grootte ook op de hoogte zijn en blijven van deze informatie. Of het nu gaat om een grote financiële dienstverlener met een zeer toegewijd ICT-beveiligingsteam of een kleinere leverancier die niet over deze middelen beschikt.

Aanbevelingen van BLAUD:

BLAUD bevindt zich in een unieke positie om financiële organisaties te helpen bij het identificeren, implementeren en beheren van de cyberbeveiligingsmaatregelen die genomen moeten worden om hun activiteiten in het digitale landschap te beveiligen.

De belangrijkste aspecten die worden beschreven in de Digital Operational Resilience Act bieden, wanneer ze effectief worden ingezet, zekerheid en gemoedsrust zodat organisaties zich kunnen richten op andere belangrijke taken.

BLAUD legt zich toe op het leveren van moderne, beheerde beveiligingsoplossingen, in samenwerking met toonaangevende softwareleveranciers, om klanten te helpen veilig te worden én veilig te blijven. We beschikken over unieke kennis van moderne mobiele besturingssystemen en hoe deze beveiligd en geïntegreerd kunnen worden met de hedendaagse infrastructuur en applicaties in de cloud. De diensten van BLAUD zijn flexibel en aanpasbaar, met opties die 24 uur per dag, 7 dagen per week beschikbaar zijn. Alle diensten worden ondersteund door onze ISO 27001 en Cyber Essentials Plus certificeringen, die alle aspecten van onze organisatie en alle diensten die we aanbieden omvatten. Zo kunnen onze klanten er zeker van zijn dat we waarmaken wat we beloven.

|