De nieuwe EU-wetgeving ‘Digital Operational Resilience Act’ (DORA) is op 17 januari 2023 in werking getreden. Vanaf 17 januari 2025 wordt er gecontroleerd op naleving. Hoe gaan CIO’s, IT-directeuren, CISO’s en IT Risk Managers bij pensioenfondsen, vermogensbeheerders en pensioenuitvoeringsorganisaties hiermee om? Is er al een DORA projectmanager of team actief? Wat kan DORA betekenen in het licht van de toenemende cybersecurity risico’s? In dit blog verkennen we de laatste inzichten en uitdagingen rondom DORA, om je te helpen bij het inrichten van een DORA-compliance traject en de implementatie.
Waar staan we?
DORA is ingevoerd om een uniform kader te bieden voor de beveiliging van netwerk- en informatiesystemen. Het doel is om de risico's op het gebied van cyberbeveiliging te beperken en de digitale operationele weerbaarheid in de hele financiële sector te verbeteren. DORA is gebaseerd op 5 pijlers: ICT-risicobeheer (incl. governance vereisten), rapportage van ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, beheer van ICT-risico's van derde aanbieders en regelingen voor de uitwisseling van informatie. Voor al deze deelgebieden wordt een visie en implementatieplan gevraagd van organisaties.
DORA vraagt om aanvullende procedures en controles
De nieuwe wet valt onder een complex web van wet- en regelgeving, omdat het verschillende principes en regelgevingskaders omvat die van toepassing zijn op (financiële) instellingen. We hadden al GDPR en de Good Practice informatiebeveiliging vanuit DNB. Is dat niet voldoende om het digitale dataverkeer in de financiële sector veilig te laten verlopen? Helaas niet. DORA vraagt om aanvullende procedures en controles.
Een DORA scan is een goede start
De eerste vraag is daarom: waar staat jouw organisatie nu? Aan welke DORA artikelen voldoe je al, waar is aanvulling nodig? Waar beleg je deze verantwoordelijkheden binnen de organisatie? DORA is namelijk niet alleen een ICT-aangelegenheid, maar gaat de hele organisatie aan. Een DORA scan is daarom een goede start.
Verdedigen en weerbaar zijn
DORA is bedoeld om de digitale omgeving veiliger te maken en de digitale operationele weerbaarheid voor financiële instellingen en externe ICT-dienstverleners te vergroten. Daarmee kan de impact van bijvoorbeeld een cyberaanval worden beperkt. 100% veiligheid is een illusie. Aanvallen van buitenaf zullen blijven komen. Ze zullen frequenter plaatsvinden en technisch geavanceerder zijn. De implementatie van een wet als DORA wordt daarmee alleen maar urgenter.
De implementatie van DORA wordt steeds urgenter
Waar de databeveiliging binnen de eigen organisatie goed te overzien is, wordt dat al snel anders waar het om derde partijen gaat. De totale keten van leveranciers is lang niet altijd bekend. Zelfs een gigant als Microsoft heeft weleens een hele dag platgelegen door een infiltratie via een onbekende partner diep in de keten.
Bij ICT-strategie en -beleid voor risico's van derden gaat het erom de keten inzichtelijk te maken en een juiste inschatting te maken van de risico’s per leverancier. Regulatory Technical Standards (RTS) met betrekking tot het beleid voor kritieke of belangrijke uitbesteding helpen om je huidige beleid te actualiseren.
Nog veel vragen
Gaat DORA de beoogde digitale operationele weerbaarheid realiseren in de Asset Management & Pensioenen sector? Dat is een belangrijke vraag. Met DORA is er een standaard voor fondsen, uitvoeringsorganisaties en vermogensbeheerders. Maar alleen met een standaard en een framework hou je indringers niet buiten de deur. Daarnaast is DORA op veel punten niet specifiek. De vraag is welke invulling organisaties er zelf aan geven. Voelen zij zich verantwoordelijk voor de hele keten van leveranciers? Zo zijn er nog veel vragen, terwijl januari 2025 snel dichterbij komt.
Met alleen een framework hou je indringers niet buiten de deur
Gaat het organisaties tijdig lukken te voldoen aan de vereisten van DORA? Vooralsnog lijkt het wijsheid om slimme, risico-gebaseerde keuzes te maken. Test veel en regelmatig. Aangekondigd, maar vooral ook onaangekondigd. Leer daarvan en zorg er op die manier voor dat je organisatie steeds veiliger en veerkrachtiger wordt.
Wat de doen?
De boodschap wat betreft DORA is: kom in actie. Stel een projectteam samen met interne en eventueel externe experts. Kijk waar je nu staat en wat je nog te doen staat voor het januari 2025 is. Definieer waar de gaps zitten in de beveiliging. Neem daarbij zowel de lange termijnplanning mee als de dagelijkse actualiteit. Waar kun je je op voorbereiden? Hoe reageer je als je toch wordt verrast door een infiltratie van buitenaf?