Dutch 
English 
French 
De Europese Unie staat aan de vooravond van een verordening die het digitale operationele kader voor financiële instellingen ingrijpend zal veranderen. De Digital Operational Resilience Act (DORA) is een uitgebreid pakket regels dat bedoeld is om financiële systemen weerbaarder te maken tegen cyberdreigingen en andere risico's die digitale transformatie met zich meebrengt.
De implicaties van DORA zijn verstrekkend en hebben betrekking op alles van IT-beveiligingsprocedures tot plannen om op incidenten te reageren en protocollen voor klantcommunicatie.
Als we de complexiteit van DORA onderzoeken, wordt het duidelijk dat financiële organisaties zich moeten richten op de vier pijlers van gegevens om zich voor te bereiden: beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid.
Cyberweerbaarheid begrijpen
Cyberweerbaarheid verwijst naar het vermogen van een entiteit om het beoogde resultaat te leveren ondanks aanhoudende ongunstige cybergebeurtenissen. Effectieve cyberweerbaarheid omvat het vermogen om bestand te zijn tegen, zich snel aan te passen aan en te herstellen van cyberincidenten die de vertrouwelijkheid, integriteit of beschikbaarheid van digitale bronnen in gevaar kunnen brengen.
Een raamwerk voor cyberweerbaarheid - DORA
DORA is een ambitieus wetgevingsvoorstel dat tot doel heeft een geharmoniseerd kader vast te stellen voor het toezicht op uitbestedingsovereenkomsten, IT-activiteiten en IT-risicobeheer in de financiële sector. Het is van toepassing op verschillende financiële instellingen, van banken en betalingsdienstaanbieders tot effectenbeurzen en clearinginstellingen.
Met DORA geeft de EU een duidelijke boodschap af dat digitale operaties niet in silo's kunnen worden ondergebracht, maar moeten worden geïntegreerd in de bredere context van operationele veerkracht.
De richtlijn vraagt om een holistische benadering van digitaal risicobeheer, te beginnen met het in kaart brengen van de complexe digitale afhankelijkheden van een organisatie. Dit betekent dat je niet alleen inzicht moet hebben in je primaire systemen, maar ook in de vele diensten en platforms waarvan deze afhankelijk zijn.
Het doel is om de potentiële kwetsbaarheden in elke schakel van de keten te identificeren en te beoordelen en robuuste strategieën te ontwikkelen om incidenten te voorkomen, op te sporen en op te lossen. Legacy-applicaties zijn bijzonder gevoelig voor kwetsbaarheden en kunnen verhoogde risico's vormen voor de operationele veerkracht. Wanneer je een intern onderzoek uitvoert en alle systemen analyseert, moet je de volgende resultaten meenemen.
ICT-risicobeheer
Een robuust ICT-risicobeheerproces zorgt ervoor dat alle potentiële kwetsbaarheden en bedreigingen op een gestructureerde manier worden geïdentificeerd, beoordeeld en beperkt. Binnen dit onderdeel moeten bedrijven kritieke verantwoordelijkheden voor de controlefunctie definiëren, zodat er verantwoording wordt afgelegd over de implementatie van en het toezicht op ICT-beveiligingsmaatregelen.
ICT-risicobeheer voor derden
Omdat veel financiële instellingen afhankelijk zijn van diensten van derden, is rigoureus beheer van deze relaties cruciaal om veerkracht te behouden en inbreuken te voorkomen die afkomstig kunnen zijn van externe partners.
Dit deel van het raamwerk sluit aan bij de laatste taken, waar het bedrijf verantwoordelijkheden moet definiëren voor het controleren van intern en extern risicomanagement.
Toezicht op kritieke derde partijen
Kritische externe dienstverleners moeten worden onderworpen aan grondig toezicht om het risico dat zij vormen voor de operationele veerkracht van de financiële sector te minimaliseren. Het opstellen van beleid, procedures, protocollen en hulpmiddelen voor netwerkbeveiligingsbeheer en het beveiligen van informatie in doorvoer, wat bijdraagt aan de algehele digitale en operationele veerkracht.
Testen van digitale operationele veerkracht
Het regelmatig testen van digitale activiteiten helpt zwakke plekken te identificeren en maakt proactieve maatregelen tegen cyberbedreigingen mogelijk. Het belang benadrukken van het behoud van de integriteit, vertrouwelijkheid en beschikbaarheid van gegevens en systemen. Elk bedrijf zal beleid en procedures moeten implementeren om de kriticiteit van ICT-middelen te beoordelen.
ICT-gerelateerde incidenten
Met de juiste incidentbestrijdingsplannen en rapportagemechanismen kunnen incidenten effectief worden aangepakt. ICT-gerelateerde beveiligingsincidenten. Deze plannen hebben betrekking op operationele procedures, capaciteits- en prestatiebeheer, kwetsbaarheids- en patchbeheer, gegevens- en systeembeveiliging en logging.
Informatie delen
Financiële entiteiten kunnen profiteren van collectieve informatie en hun verdedigingsmechanismen verbeteren door informatie over risico's en inbreuken te delen, de cruciale rol van encryptie bij de beveiliging van gevoelige gegevens te benadrukken en een uitgebreid beleid voor cryptografische controles voor te stellen.
Dit gaat verder dan wat u deelt met uw leveranciers, klanten of werknemers. Het gaat ook om het continu verbeteren van je cyberweerbaarheid en het faciliteren van communicatie met bevoegde autoriteiten.
Een cruciale implementatie van al het bovenstaande is ervoor zorgen dat uw bedrijf Cyber Awareness bevordert. Het opnemen van cyberweerbaarheid in uw bedrijf en de DORA-regelgeving benadrukt de noodzaak van bewustwordingsprogramma's voor ICT-beveiliging en digitale operationele weerbaarheidstrainingen om het cyberbewustzijn en de cyberparaatheid van de organisatie te vergroten.
Voorbereiden op DORA
De Europese toezichthoudende autoriteiten (de EBA, EIOPA en ESMA) hebben de opdracht gekregen een reeks beleidsproducten te ontwikkelen om de toepassing van DORA te vergemakkelijken. In samenwerking met het Agentschap voor Cyberbeveiliging van de Europese Unie (ENISA) willen ze elementen standaardiseren zoals het ICT-beveiligingsbeleid, toegangsbeheer en anomaliedetectie, bedrijfscontinuïteiten reactie- en herstelplannen.
De implementatie van DORA is voorzien voor begin 2025 en is dus nog in opbouw. Hieronder bespreken we de vier cruciale pijlers van de wet, zodat je je bedrijf kunt voorbereiden om zich aan te passen aan toekomstig beleid.
Beschikbaarheid
In de context van DORA verwijst beschikbaarheid naar de toegankelijkheid van gegevens en IT-services. Financiële instellingen moeten ervoor zorgen dat hun systemen toegankelijk zijn en werken zoals afgesproken, ongeacht gepland onderhoud of onverwachte incidenten. Hoge beschikbaarheid gaat niet alleen over het voldoen aan standaarden; het gaat over het waarmaken van de fundamentele belofte van dienstverlening die ten grondslag ligt aan het vertrouwen in de sector.
Om ervoor te zorgen dat uw gegevens toegankelijk zijn, moet u uw IT-systemen en -services nauwgezet controleren. Identificeer single points of failure en pak ze aan met redundanties en noodplannen. Gebruik geavanceerde bewakingstools om de gezondheid en prestaties van uw systemen voortdurend te controleren.
Samenwerking is essentieel om de beschikbaarheid te handhaven. Dit betekent nauw samenwerken met externe leveranciers om ervoor te zorgen dat hun diensten voldoen aan uw beschikbaarheidsdoelen. Het betekent ook samenwerken met andere financiële instellingen om sectorbrede protocollen op te stellen voor het in stand houden van de service tijdens crises.
Authenticiteit
Authenticiteit is een ander cruciaal element van DORA. Financiële instellingen moeten de herkomst van gegevens en de integriteit van IT-processen kunnen verifiëren. Dit is van fundamenteel belang om fraude te voorkomen en de nauwkeurigheid van financiële informatie te handhaven.
Digitale handtekeningen implementeren
Digitale handtekeningen spelen een belangrijke rol bij het waarborgen van de authenticiteit van gegevens in een digitale omgeving. Door gebruik te maken van cryptografische solide technieken kunnen financiële instellingen een digitale 'vingerafdruk' van hun documenten maken die vrijwel onmogelijk te vervalsen is.
Identiteitscontrole versterken
Naast gegevens is ook de authenticiteit van transactiedeelnemers van cruciaal belang. Robuuste processen voor identiteitsverificatie zijn essentieel. Dit omvat multi-factor authenticatie voor klanten en uitgebreide toegangscontroles voor werknemers.
Integriteit
Gegevensintegriteit zorgt ervoor dat informatie compleet, accuraat en up-to-date is. Gegevensintegriteit is onmisbaar in de financiële sector, waar beslissingen worden genomen op basis van de meest recente en nauwkeurige informatie.
Controle op manipulatie
Het opsporen en voorkomen van ongeautoriseerde wijzigingen in gegevens is een constante strijd. Implementeer tools en processen die ongebruikelijke activiteiten controleren en neem proactieve maatregelen om kritieke gegevens te beveiligen.
Robuust veranderingsbeheer toepassen
Veranderingen aan IT-systemen kunnen nieuwe risico's voor de integriteit van gegevens introduceren. Er is een streng veranderingsbeheerproces nodig om updates te evalueren en te autoriseren en om veranderingen die onverwachte problemen veroorzaken ongedaan te maken.
Vertrouwelijkheid
Financiële instellingen verwerken gevoelige informatie, waaronder persoonlijke gegevens en bedrijfsgegevens. Het handhaven van de vertrouwelijkheid van deze informatie is van vitaal belang om te voldoen aan de DORA en om het vertrouwen van klanten en belanghebbenden te behouden.
Maak gebruik van best practices voor de veilige opslag en overdracht van gegevens. Dit omvat versleuteling, toegangscontrole en veilige communicatiekanalen. Menselijke fouten zijn een van de belangrijkste oorzaken van datalekken. Er moet dus gecontroleerde toegang zijn tot alle gevoelige gegevens.
Organisatorische strategieën voor veerkracht
Voor financiële instellingen gaat het bij het opstellen van een strategie voor organisatorische veerkracht om naleving van DORA en het veiligstellen van het vertrouwen van hun klanten en belanghebbenden. Deze strategie moet ICT-beveiligingsbeleid en -procedures omvatten die netwerken beveiligen, gegevensintegriteit beschermen en de continuïteit van diensten garanderen.
Financiële entiteiten moeten deze strategieën afstemmen op hun specifieke risicoprofiel, aard, omvang en complexiteit van de dienstverlening. Maatwerk is cruciaal, gezien de omvang van de organisatie en de verschillende aard van de activiteiten in de verschillende financiële sectoren.
Proactieve risicobeoordelingen
Het uitvoeren van proactieve risicobeoordelingen kan een snel overzicht geven van de digitale operationele veerkracht van uw organisatie. Deze informatie is cruciaal voor het prioriteren van compliance-inspanningen en -middelen.
Partnerschap voor paraatheid
Strategische partnerschappen met compliance-experts en technologieleveranciers kunnen de implementatie van noodzakelijke veranderingen versnellen en ervoor zorgen dat je instelling goed gepositioneerd is om aan de strenge eisen van DORA te voldoen.
Bestaande systemen
Een aanzienlijke uitdaging op weg naar DORA-compliance is de prevalentie van verouderde legacysystemen binnen de financiële sector. Hoewel deze systemen integraal deel uitmaken van de huidige activiteiten, moeten ze worden herzien om aan de strenge eisen van DORA te voldoen.
Legacy systemen leveren twee problemen op. Ten eerste zijn ze kwetsbaarder voor cyberaanvallen door verouderde beveiligingsprotocollen. Ten tweede zijn ze moeilijker bij te werken of te onderhouden vanwege hun leeftijd en de moeilijkheid om gekwalificeerd personeel te vinden om ze te ondersteunen.
Beslissen over moderniseren of archiveren
Voor veel financiële instellingen is de vraag niet óf ze moeten moderniseren, maar hoe en wanneer. Modernisering kan een enorme onderneming zijn waarbij kernsystemen en -processen moeten worden gewijzigd. Ze vereisen een engagement op lange termijn en een zorgvuldig gefaseerde aanpak om verstoringen tot een minimum te beperken.
De meest kosteneffectieve manier is om de informatie archiveren die nodig zijn om operationele activiteiten voort te zetten of audits uit te voeren. Binnen de DORA-normen moet alles beschikbaar en authentiek zijn, de volledige integriteit behouden en volledig vertrouwelijk zijn. Dit betekent dat je op zoek moet gaan naar een archiveringssysteem waarmee je aan alle vier de pijlers kunt voldoen.
Begrijpen dat legacy-systemen moeten kunnen communiceren met nieuwere platforms en diensten betekent ook dat wanneer er wordt gearchiveerd, dit op de lange termijn beschikbaar moet zijn en dat het aanwezige systeem de mogelijkheid moet bieden om documenten in de nieuwste technologische vormen te exporteren.
Het belang van verandermanagement
Effectief veranderingsbeheer is cruciaal bij het snel invoeren van nieuwe processen en technologieën. Duidelijke communicatie, betrokkenheid van belanghebbenden en rigoureus testen kunnen ervoor zorgen dat veranderingen succesvol en met minimale verstoring van de werkzaamheden worden geïmplementeerd.
In de haast om aan technische compliance-eisen te voldoen, kan het gemakkelijk zijn om de menselijke en procesmatige elementen van operationele veerkracht over het hoofd te zien. Voor een succesvolle aanpassing aan DORA is het nodig te begrijpen dat mensen en hun rol binnen processen net zo belangrijk zijn als de systemen die ze bedienen.
De kansen omarmen
Hoewel de uitdagingen van DORA aanzienlijk zijn, zijn de kansen dat ook. Financiële instellingen kunnen een concurrentievoordeel behalen door te investeren in operationele veerkracht, meer vertrouwen op te bouwen bij klanten en belanghebbenden, en zich te beschermen tegen het steeds veranderende landschap van digitale risico's.
Uiteindelijk is DORA niet alleen een mandaat voor verandering, maar een oproep tot actie voor de hele financiële sector. De implementatie ervan zal complex en veeleisend zijn, maar het belooft ook een grotere digitale operationele veerkracht die zowel veilig als toekomstgericht is. Door zich nu voor te bereiden, kunnen financiële organisaties ervoor zorgen dat ze deze veranderingen niet alleen overleven, maar er ook sterker en veerkrachtiger dan ooit uit tevoorschijn komen.
