Navigeren door de Digital Operational Resilience Act (DORA)

The European Union is on the verge of a regulation that will dramatically alter the digital operational framework for financial institutions. The Digital Operational Resilience Act (DORA) is a comprehensive package of rules designed to increase the resilience of financial systems against cyber threats and other risks posed by digital transformation.

The implications of DORA are far-reaching, touching on everything from IT security procedures to incident response plans and customer communication protocols.

Als we de complexiteit van DORA onderzoeken, wordt het duidelijk dat financiële organisaties zich moeten richten op de vier pijlers van gegevens om zich voor te bereiden: beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid.

Cyberweerbaarheid begrijpen

Cyber resilience refers to an entity’s ability to deliver the intended outcome despite continuous adverse cyber events. Effective cyber resilience encompasses the ability to withstand, quickly adapt to, and recover from cyber incidents that could compromise the confidentiality, integrity, or availability of digital resources.

Een raamwerk voor cyberweerbaarheid - DORA

DORA is an ambitious legislative proposal that seeks to establish a harmonised framework for overseeing outsourcing arrangements, IT operations, and IT risk management in the financial sector. It applies to various financial institutions, from banks and payment service providers to stock exchanges and clearing houses.

With DORA, the EU is sending a clear message that digital operations cannot be siloed; they must be integrated into the broader context of operational resilience.

The directive demands a holistic approach to digital risk management, beginning with mapping an organisation’s complex digital dependencies. This means understanding not only your primary systems but also the many services and platforms on which they rely.

The goal is to identify and assess the potential vulnerabilities in every chain link and develop robust strategies for preventing, detecting, and resolving incidents. Legacy-applicaties zijn bijzonder gevoelig voor kwetsbaarheden en kunnen verhoogde risico's vormen voor de operationele veerkracht. Wanneer je een intern onderzoek uitvoert en alle systemen analyseert, moet je de volgende resultaten meenemen.

ICT-risicobeheer

Een robuust ICT-risicobeheerproces zorgt ervoor dat alle potentiële kwetsbaarheden en bedreigingen op een gestructureerde manier worden geïdentificeerd, beoordeeld en beperkt. Binnen dit onderdeel moeten bedrijven kritieke verantwoordelijkheden voor de controlefunctie definiëren, zodat er verantwoording wordt afgelegd over de implementatie van en het toezicht op ICT-beveiligingsmaatregelen.

ICT-risicobeheer voor derden

With many financial institutions relying on third-party services, rigorous management of these relationships is crucial to maintain resilience and prevent breaches that could stem from external partners.

This part of the framework aligns with the last tasks, where the company must define responsibilities for controlling internal and external risk management.

Toezicht op kritieke derde partijen

Kritische externe dienstverleners moeten worden onderworpen aan grondig toezicht om het risico dat zij vormen voor de operationele veerkracht van de financiële sector te minimaliseren. Het opstellen van beleid, procedures, protocollen en hulpmiddelen voor netwerkbeveiligingsbeheer en het beveiligen van informatie in doorvoer, wat bijdraagt aan de algehele digitale en operationele veerkracht.

Testen van digitale operationele veerkracht

Het regelmatig testen van digitale activiteiten helpt zwakke plekken te identificeren en maakt proactieve maatregelen tegen cyberbedreigingen mogelijk. Het belang benadrukken van het behoud van de integriteit, vertrouwelijkheid en beschikbaarheid van gegevens en systemen. Elk bedrijf zal beleid en procedures moeten implementeren om de kriticiteit van ICT-middelen te beoordelen.

ICT-gerelateerde incidenten

Proper incident response plans and reporting mechanisms allow for effectively managing any ICT-related security incidents. These plans cover operating procedures, capacity and performance management, vulnerability and patch management, data and system security, and logging.

Informatie delen

Financiële entiteiten kunnen profiteren van collectieve informatie en hun verdedigingsmechanismen verbeteren door informatie over risico's en inbreuken te delen, de cruciale rol van encryptie bij de beveiliging van gevoelige gegevens te benadrukken en een uitgebreid beleid voor cryptografische controles voor te stellen.

Dit gaat verder dan wat u deelt met uw leveranciers, klanten of werknemers. Het gaat ook om het continu verbeteren van je cyberweerbaarheid en het faciliteren van communicatie met bevoegde autoriteiten.

Een cruciale implementatie van al het bovenstaande is ervoor zorgen dat uw bedrijf Cyber Awareness bevordert. Het opnemen van cyberweerbaarheid in uw bedrijf en de DORA-regelgeving benadrukt de noodzaak van bewustwordingsprogramma's voor ICT-beveiliging en digitale operationele weerbaarheidstrainingen om het cyberbewustzijn en de cyberparaatheid van de organisatie te vergroten.

Voorbereiden op DORA

The European Supervisory Authorities (the EBA, EIOPA, and ESMA) have been tasked with developing a suite of policy products to facilitate the application of DORA. Engaging with the European Union Agency on Cybersecurity (ENISA), they aim to standardise elements such as ICT security policies, access management, anomaly detection, business continuity, and response and recovery plans.

The implementation of DORA is foreseen to occur at the beginning of 2025 and is thus still under construction. Below, we will discuss the four crucial pillars of the act so you can prepare your business to adapt to future policies. 

Beschikbaarheid

In de context van DORA verwijst beschikbaarheid naar de toegankelijkheid van gegevens en IT-services. Financiële instellingen moeten ervoor zorgen dat hun systemen toegankelijk zijn en werken zoals afgesproken, ongeacht gepland onderhoud of onverwachte incidenten. Hoge beschikbaarheid gaat niet alleen over het voldoen aan standaarden; het gaat over het waarmaken van de fundamentele belofte van dienstverlening die ten grondslag ligt aan het vertrouwen in de sector.

Om ervoor te zorgen dat uw gegevens toegankelijk zijn, moet u uw IT-systemen en -services nauwgezet controleren. Identificeer single points of failure en pak ze aan met redundanties en noodplannen. Gebruik geavanceerde bewakingstools om de gezondheid en prestaties van uw systemen voortdurend te controleren.

Samenwerking is essentieel om de beschikbaarheid te handhaven. Dit betekent nauw samenwerken met externe leveranciers om ervoor te zorgen dat hun diensten voldoen aan uw beschikbaarheidsdoelen. Het betekent ook samenwerken met andere financiële instellingen om sectorbrede protocollen op te stellen voor het in stand houden van de service tijdens crises.

Authenticiteit

Authenticiteit is een ander cruciaal element van DORA. Financiële instellingen moeten de herkomst van gegevens en de integriteit van IT-processen kunnen verifiëren. Dit is van fundamenteel belang om fraude te voorkomen en de nauwkeurigheid van financiële informatie te handhaven.

Digitale handtekeningen implementeren

Digitale handtekeningen spelen een belangrijke rol bij het waarborgen van de authenticiteit van gegevens in een digitale omgeving. Door gebruik te maken van cryptografische solide technieken kunnen financiële instellingen een digitale 'vingerafdruk' van hun documenten maken die vrijwel onmogelijk te vervalsen is.

Identiteitscontrole versterken

Naast gegevens is ook de authenticiteit van transactiedeelnemers van cruciaal belang. Robuuste processen voor identiteitsverificatie zijn essentieel. Dit omvat multi-factor authenticatie voor klanten en uitgebreide toegangscontroles voor werknemers.

Integriteit

Gegevensintegriteit zorgt ervoor dat informatie compleet, accuraat en up-to-date is. Gegevensintegriteit is onmisbaar in de financiële sector, waar beslissingen worden genomen op basis van de meest recente en nauwkeurige informatie.

Controle op manipulatie

Het opsporen en voorkomen van ongeautoriseerde wijzigingen in gegevens is een constante strijd. Implementeer tools en processen die ongebruikelijke activiteiten controleren en neem proactieve maatregelen om kritieke gegevens te beveiligen.

Robuust veranderingsbeheer toepassen

Veranderingen aan IT-systemen kunnen nieuwe risico's voor de integriteit van gegevens introduceren. Er is een streng veranderingsbeheerproces nodig om updates te evalueren en te autoriseren en om veranderingen die onverwachte problemen veroorzaken ongedaan te maken.

Vertrouwelijkheid

Financiële instellingen verwerken gevoelige informatie, waaronder persoonlijke gegevens en bedrijfsgegevens. Het handhaven van de vertrouwelijkheid van deze informatie is van vitaal belang om te voldoen aan de DORA en om het vertrouwen van klanten en belanghebbenden te behouden.

Maak gebruik van best practices voor de veilige opslag en overdracht van gegevens. Dit omvat versleuteling, toegangscontrole en veilige communicatiekanalen. Menselijke fouten zijn een van de belangrijkste oorzaken van datalekken. Er moet dus gecontroleerde toegang zijn tot alle gevoelige gegevens.

Organisatorische strategieën voor veerkracht

Voor financiële instellingen gaat het bij het opstellen van een strategie voor organisatorische veerkracht om naleving van DORA en het veiligstellen van het vertrouwen van hun klanten en belanghebbenden. Deze strategie moet ICT-beveiligingsbeleid en -procedures omvatten die netwerken beveiligen, gegevensintegriteit beschermen en de continuïteit van diensten garanderen.

Financiële entiteiten moeten deze strategieën afstemmen op hun specifieke risicoprofiel, aard, omvang en complexiteit van de dienstverlening. Maatwerk is cruciaal, gezien de omvang van de organisatie en de verschillende aard van de activiteiten in de verschillende financiële sectoren.

Proactieve risicobeoordelingen

Het uitvoeren van proactieve risicobeoordelingen kan een snel overzicht geven van de digitale operationele veerkracht van uw organisatie. Deze informatie is cruciaal voor het prioriteren van compliance-inspanningen en -middelen.

Partnerschap voor paraatheid

Strategische partnerschappen met compliance-experts en technologieleveranciers kunnen de implementatie van noodzakelijke veranderingen versnellen en ervoor zorgen dat je instelling goed gepositioneerd is om aan de strenge eisen van DORA te voldoen.

Bestaande systemen

Een aanzienlijke uitdaging op weg naar DORA-compliance is de prevalentie van verouderde legacysystemen binnen de financiële sector. Hoewel deze systemen integraal deel uitmaken van de huidige activiteiten, moeten ze worden herzien om aan de strenge eisen van DORA te voldoen.

Legacy systemen leveren twee problemen op. Ten eerste zijn ze kwetsbaarder voor cyberaanvallen door verouderde beveiligingsprotocollen. Ten tweede zijn ze moeilijker bij te werken of te onderhouden vanwege hun leeftijd en de moeilijkheid om gekwalificeerd personeel te vinden om ze te ondersteunen.

Beslissen over moderniseren of archiveren

Voor veel financiële instellingen is de vraag niet óf ze moeten moderniseren, maar hoe en wanneer. Modernisering kan een enorme onderneming zijn waarbij kernsystemen en -processen moeten worden gewijzigd. Ze vereisen een engagement op lange termijn en een zorgvuldig gefaseerde aanpak om verstoringen tot een minimum te beperken.

The most cost-effective way is to archive the information needed to continue operational activities or comply with audits. Within DORA standards, everything must be available, authentic, maintain its complete integrity, and be completely confidential. This means you must look for an archiving system that allows you to comply with all four pillars. 

Begrijpen dat legacy-systemen moeten kunnen communiceren met nieuwere platforms en diensten betekent ook dat wanneer er wordt gearchiveerd, dit op de lange termijn beschikbaar moet zijn en dat het aanwezige systeem de mogelijkheid moet bieden om documenten in de nieuwste technologische vormen te exporteren. 

Het belang van verandermanagement

Effectief veranderingsbeheer is cruciaal bij het snel invoeren van nieuwe processen en technologieën. Duidelijke communicatie, betrokkenheid van belanghebbenden en rigoureus testen kunnen ervoor zorgen dat veranderingen succesvol en met minimale verstoring van de werkzaamheden worden geïmplementeerd.

In de haast om aan technische compliance-eisen te voldoen, kan het gemakkelijk zijn om de menselijke en procesmatige elementen van operationele veerkracht over het hoofd te zien. Voor een succesvolle aanpassing aan DORA is het nodig te begrijpen dat mensen en hun rol binnen processen net zo belangrijk zijn als de systemen die ze bedienen.

De kansen omarmen

Hoewel de uitdagingen van DORA aanzienlijk zijn, zijn de kansen dat ook. Financiële instellingen kunnen een concurrentievoordeel behalen door te investeren in operationele veerkracht, meer vertrouwen op te bouwen bij klanten en belanghebbenden, en zich te beschermen tegen het steeds veranderende landschap van digitale risico's.

Uiteindelijk is DORA niet alleen een mandaat voor verandering, maar een oproep tot actie voor de hele financiële sector. De implementatie ervan zal complex en veeleisend zijn, maar het belooft ook een grotere digitale operationele veerkracht die zowel veilig als toekomstgericht is. Door zich nu voor te bereiden, kunnen financiële organisaties ervoor zorgen dat ze deze veranderingen niet alleen overleven, maar er ook sterker en veerkrachtiger dan ooit uit tevoorschijn komen.