Digital Operational Resilience Act
DORA: Wetgeving voor cyberveiligheid binnen financiële dienstverlening
De financiële sector valt en staat met digitale transformatie die in rap temp voortduurt. Ook binnen de Europese Commissie staat digitalisering centraal, met speciale aandacht voor de toename van cybercriminaliteit. In navolging van NIS2 (Network and Information Security) is de Digital Operational Resilience Act (DORA) de nieuwste wetgeving die zich richt op het aanpakken van cyberrisico’s binnen de financiële dienstverlening. Op 11 mei 2022 is binnen het Europese Parlement de voorlopige tekst van DORA goedgekeurd. De definitieve versie is op 23 juni 2022 gepubliceerd. Organisaties in de financiële sector en hun IT-dienstverleners zullen eind 2024 moeten voldoen aan de eisen van DORA. Het doel van deze wetgeving is het harmoniseren van de eisen met betrekking tot het beheersen van ICT-risico's, met als uiteindelijk doel het waarborgen van de continuïteit van kritieke processen binnen financiële organisaties.
Overzicht DORA: waar ben je naar op zoek?
Wat is de Digital Operational Resilience Act (DORA)?
Pijler II: ICT Incident Reporting
Pijler III: Digital Operational Resilience Testing
Pijler IV: ICT Third Party Risk Management
Wat is het toepassingsgebied?
Specifiek zijn verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, beleggingsinstellingen, beheermaatschappijen, banken, crypto-asset service providers, instellingen voor bedrijfspensioenvoorziening en aanbieders van ICT-diensten direct betrokken bij de implementatie van DORA.
Waarom DORA?
De introductie van DORA is een reactie op de maatschappelijke en economische risico's die voortkomen uit de groeiende dreiging van cyberaanvallen in de financiële sector. Belangrijke oorzaken van deze toenemende dreigingen zijn onder meer de toenemende complexiteit van organisatie-overschrijdende technologie, het uitbesteden van IT aan service providers, de voortdurende digitalisering van de financiële sector, inclusief financiële diensten en fintech-toepassingen, evenals het nog steeds bestaan van legacy-systemen binnen de sector.
Niet alleen voor financiële instellingen is de invoering van DORA merkbaar; ook IT-dienstverleners die actief zijn in de financiële sector zullen worden gereguleerd door de relevante toezichthouders. Auditerende organisaties vallen voorlopig niet onder de DORA met de opmerking dat binnen drie jaar na de invoering van DORA een uitbreiding op dit gebied kan worden gedaan.
Managed eXtended Detection and Response
Welke acties dienen financiële dienstverleners te nemen?
Met de publicatie van de definitieve regelgeving op 23 juni 2022 is het nu voor organisaties die onder de regelgeving van DORA vallen tijd om actie te ondernemen. DORA vereist niet alleen beleidsmatige en procedurele securitymaatregelen, maar ook aantoonbare operationele securitymaatregelen en de bijbehorende verantwoording.
Voor organisaties die al onder toezicht staan van bijvoorbeeld De Nederlandse Bank of Agentschap Telecom is de impact waarschijnlijk minder groot dan voor organisaties waar dit nu nog niet het geval is. Een aanbevolen aanpak is het vergelijken van de huidige eisen en maatregelen met de DORA-vereisten. Op basis hiervan kan een actieplan worden opgesteld om de vereisten vanuit DORA duurzaam en geïntegreerd te implementeren.
10 schokkende feiten over cyberaanvallen
Pijler I: ICT Risk Management
Organisaties moeten een gestructureerd en gedetailleerd risicomanagementproces implementeren dat cybersecurityrisico's classificeert, monitort en de effectiviteit van cybersecuritymaatregelen test en evalueert. Er is bijzondere aandacht voor risico's van legacy systemen en het hebben van inzicht in aanwezige hardware en software (inventaris) en de bijbehorende risico's.
Een uniform ICT Risk Management Framework is vereist, inclusief strategie, beleid, procedures, IT-protocollen en middelen. Dit framework moet alle informatie en IT-middelen beschermen, waaronder software, hardware, servers, fysieke componenten, infrastructuur, gebouwen en datacenters.
Pijler II: ICT Incident Reporting
Net als NIS2 introduceert DORA een meldplicht voor ernstige cybersecurityincidenten aan de relevante autoriteiten en een vrijwillige melding van minder ernstige incidenten. Organisaties moeten een gecentraliseerd systeem hebben voor het registreren van IT- en cybersecurity gerelateerde incidenten. Detectiemaatregelen zijn een vereiste, inclusief het detecteren van afwijkingen in datastromen, netwerkverkeer en cyberaanvallen.
Pijler III: Digital Operational Resilience Testing
DORA stelt eisen aan aantoonbare geïmplementeerde ICT business continuity en recovery plannen. Periodieke recovery tests en het testen van uitbestede activiteiten aan service providers zijn verplicht. Ook het testen van de cyberweerbaarheid, met specifieke aandacht voor incident response, disaster recovery en back-upvoorzieningen zijn onderdeel van deze Pijler.
Penetratietesten moeten plaatsvinden op basis van risicoanalyses en onderkenning van cyberdreigingen. Er zijn specifieke eisen gesteld aan de aanpak en certificering van penetratietesters. Deze activiteiten moeten op een risico gebaseerde en gestructureerde wijze worden uitgevoerd en de penetratietesters moeten zijn geaccrediteerd door een Europese instantie of werken volgens professionele en ethische regels. Financiële instellingen moeten gebruik maken van geactualiseerde systemen, software en tools die gericht zijn op het beheersen van risico's en geschikt zijn om crisissituaties te doorstaan en de continuïteit van processen te waarborgen.
Pijler IV: ICT Third Party Risk Management
DORA is het eerste kader dat financiële toezichthouders de bevoegdheid geeft om toezicht te houden op kritieke IT (cloud) serviceproviders (CSP’s). Er worden eisen gesteld aan contractuele afspraken tussen financiële instellingen en IT-dienstverleners met betrekking tot cybersecurity. IT-dienstverleners moeten meewerken aan cybersecurity-assessments en toezichthouders moeten off-site en on-site cybersecurity-onderzoeken kunnen uitvoeren. Organisaties moeten waarschijnlijk hun afspraken op het gebied van cybersecurity herzien om aan DORA te voldoen.
Pijler V: Information And Intelligence Sharing
DORA creëert een wettelijk kader voor het uitwisselen van cyberdreigingsinformatie, waaronder technieken, indicators of compromise en security tooling. Dit sluit aan bij bestaande uitwisselingsverbanden op het gebied van cybersecurity, zoals P(ensioen)-ISAC, P(ayment)I(nstitutions)-ISAC en F(inancial)I(nstitutions)-ISAC. Kleine financiële instellingen worden aangemoedigd om zich aan te sluiten bij (sectorale) Information Sharing and Analysis Centres (ISACs). Toezichthouders hebben de bevoegdheid om boetes op te leggen bij niet-naleving van DORA-verplichtingen.
Conclusie
DORA is een omvangrijke wet met een specifieke focus op cyberweerbaarheid. Met de vaststelling van de tekst van DORA hebben organisaties nu een goede basis om zich voor te bereiden op de implementatie van deze wet. Het is verstandig om nu te beginnen met een gap-analyse om een roadmap op te stellen voor het ontwerp van het vereiste "digital resilience risk management framework". Hierdoor is er voldoende tijd voor verdere implementatie van de benodigde maatregelen vóór eind 2024.
Managed eXtended Detection and Response
Hulp nodig?
Wortell Enterprise Security een strategische, snel groeiende, volwassen en betrouwbare divisie binnen Wortell en staat voor een holistische en geïntegreerde benadering, waarbij geen onderscheid wordt gemaakt tussen basis- en aanvullende securitymaatregelen. Of het nu gaat om risicoanalyses, identiteits- en toegangsbeheer, netwerksegmentatie, data protectie, vulnerability management, security awareness, of het 24/7 monitoren en detecteren van potentiële cyber incidenten - onze benadering verbindt ze naadloos met elkaar. Het is een samenspel van elementen die op elkaar afgestemd moeten zijn voor optimale bescherming.
Hulp nodig bij het interpreteren van DORA en/of het nemen van maatregelen, Neem dan gerust contact met ons op.
