DORA en de toenemende cyberrisico’s

De nieuwe EU-wetgeving ‘Digital Operational Resilience Act’ (DORA) is op 17 januari 2023 in werking getreden. Vanaf 17 januari 2025 wordt er gecontroleerd op naleving. Hoe gaan CIO’s, IT-directeuren, CISO’s en IT Risk Managers bij pensioenfondsen, vermogensbeheerders en pensioenuitvoeringsorganisaties hiermee om? Is er al een DORA projectmanager of team actief? Wat kan DORA betekenen in het licht van de toenemende cybersecurity risico’s? In dit blog verkennen we de laatste inzichten en uitdagingen rondom DORA, om je te helpen bij het inrichten van een DORA-compliance traject en de implementatie. 

Waar staan we?

DORA is ingevoerd om een uniform kader te bieden voor de beveiliging van netwerk- en informatiesystemen. Het doel is om de risico's op het gebied van cyberbeveiliging te beperken en de digitale operationele weerbaarheid in de hele financiële sector te verbeteren. DORA is gebaseerd op 5 pijlers: ICT-risicobeheer (incl. governance vereisten), rapportage van ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, beheer van ICT-risico's van derde aanbieders en regelingen voor de uitwisseling van informatie. Voor al deze deelgebieden wordt een visie en implementatieplan gevraagd van organisaties.

De nieuwe wet valt onder een complex web van wet- en regelgeving, omdat het verschillende principes en regelgevingskaders omvat die van toepassing zijn op (financiële) instellingen. We hadden al GDPR en de Good Practice informatiebeveiliging vanuit DNB. Is dat niet voldoende om het digitale dataverkeer in de financiële sector veilig te laten verlopen? Helaas niet. DORA vraagt om aanvullende procedures en controles.

De eerste vraag is daarom: waar staat jouw organisatie nu? Aan welke DORA artikelen voldoe je al, waar is aanvulling nodig? Waar beleg je deze verantwoordelijkheden binnen de organisatie? DORA is namelijk niet alleen een ICT-aangelegenheid, maar gaat de hele organisatie aan. Een DORA scan is daarom een goede start.

Verdedigen en weerbaar zijn

DORA is bedoeld om de digitale omgeving veiliger te maken en de digitale operationele weerbaarheid voor financiële instellingen en externe ICT-dienstverleners te vergroten. Daarmee kan de impact van bijvoorbeeld een cyberaanval worden beperkt. 100% veiligheid is een illusie. Aanvallen van buitenaf zullen blijven komen. Ze zullen frequenter plaatsvinden en technisch geavanceerder zijn. De implementatie van een wet als DORA wordt daarmee alleen maar urgenter.

Waar de databeveiliging binnen de eigen organisatie goed te overzien is, wordt dat al snel anders waar het om derde partijen gaat. De totale keten van leveranciers is lang niet altijd bekend. Zelfs een gigant als Microsoft heeft weleens een hele dag platgelegen door een infiltratie via een onbekende partner diep in de keten.

Bij ICT-strategie en -beleid voor risico's van derden gaat het erom de keten inzichtelijk te maken en een juiste inschatting te maken van de risico’s per leverancier. Regulatory Technical Standards (RTS) met betrekking tot het beleid voor kritieke of belangrijke uitbesteding helpen om je huidige beleid te actualiseren.

Nog veel vragen

Gaat DORA de beoogde digitale operationele weerbaarheid realiseren in de Asset Management & Pensioenen sector? Dat is een belangrijke vraag. Met DORA is er een standaard voor fondsen, uitvoeringsorganisaties en vermogensbeheerders. Maar alleen met een standaard en een framework hou je indringers niet buiten de deur. Daarnaast is DORA op veel punten niet specifiek. De vraag is welke invulling organisaties er zelf aan geven. Voelen zij zich verantwoordelijk voor de hele keten van leveranciers? Zo zijn er nog veel vragen, terwijl januari 2025 snel dichterbij komt.

Gaat het organisaties tijdig lukken te voldoen aan de vereisten van DORA? Vooralsnog lijkt het wijsheid om slimme, risico-gebaseerde keuzes te maken. Test veel en regelmatig. Aangekondigd, maar vooral ook onaangekondigd. Leer daarvan en zorg er op die manier voor dat je organisatie steeds veiliger en veerkrachtiger wordt.

Wat de doen?

De boodschap wat betreft DORA is: kom in actie. Stel een projectteam samen met interne en eventueel externe experts. Kijk waar je nu staat en wat je nog te doen staat voor het januari 2025 is. Definieer waar de gaps zitten in de beveiliging. Neem daarbij zowel de lange termijnplanning mee als de dagelijkse actualiteit. Waar kun je je op voorbereiden? Hoe reageer je als je toch wordt verrast door een infiltratie van buitenaf?

Hoe trek je daar vervolgens lessen uit die je omzet in een aangescherpt beleid? Zo ga je van puur compliant zijn naar in control zijn. Gelukkig hoef je met DORA het wiel niet opnieuw uit te vinden. Je kunt gebruik maken van reusable compliance. Zaken die je in het kader van andere wet- en regelgeving al geregeld hebt, kun je binnen DORA hergebruiken. Zie DORA vooral als een continue cyclus van implementatie, praktijkervaringen en optimalisatie. Daarmee zorg je ervoor dat de wet doet waar deze voor is bedoeld: jouw digitale operationele weerbaarheid verhogen.