DocbyteFacebookPixel

Navigeren door de Digital Operational Resilience Act (DORA)

navigeren door de digitale weerbaarheidswet docbyte

De Europese Unie staat aan de vooravond van een verordening die het digitale operationele kader voor financiële instellingen ingrijpend zal veranderen. De Digital Operational Resilience Act (DORA) is een uitgebreid pakket regels dat bedoeld is om financiële systemen weerbaarder te maken tegen cyberdreigingen en andere risico's die digitale transformatie met zich meebrengt. De implicaties van DORA zijn verstrekkend en hebben betrekking op alles van IT-beveiligingsprocedures tot incidentbestrijdingsplannen en protocollen voor klantcommunicatie. Als we de complexiteit van DORA onderzoeken, wordt het duidelijk dat financiële organisaties zich moeten richten op de vier pijlers van gegevens om zich voor te bereiden: beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid. Cyberweerbaarheid begrijpen Cyberweerbaarheid verwijst naar het vermogen van een entiteit om het beoogde resultaat te leveren ondanks aanhoudende ongunstige cybergebeurtenissen. Effectieve cyberweerbaarheid omvat het vermogen om bestand te zijn tegen, zich snel aan te passen aan en te herstellen van cyberincidenten die de vertrouwelijkheid, integriteit of beschikbaarheid van digitale bronnen in gevaar kunnen brengen. Een kader voor cyberweerbaarheid - DORA DORA is een ambitieus wetgevingsvoorstel dat een geharmoniseerd kader wil creëren voor het toezicht op uitbestedingsovereenkomsten, IT-activiteiten en IT-risicobeheer in de financiële sector. Het is van toepassing op verschillende financiële instellingen, van banken en betalingsdienstaanbieders tot beurzen en clearinginstellingen. Met DORA geeft de EU een duidelijk signaal af dat digitale activiteiten niet in silo's kunnen worden ondergebracht, maar moeten worden geïntegreerd in de bredere context van operationele veerkracht. De richtlijn vereist een holistische benadering van digitaal risicobeheer, te beginnen met het in kaart brengen van de complexe digitale afhankelijkheden van een organisatie. Dit betekent dat je niet alleen inzicht moet hebben in je primaire systemen, maar ook in de vele diensten en platforms waarvan deze afhankelijk zijn. Het doel is om de potentiële kwetsbaarheden in elke schakel te identificeren en te beoordelen en robuuste strategieën te ontwikkelen voor het voorkomen, detecteren en oplossen van incidenten. Legacy-applicaties zijn bijzonder gevoelig voor kwetsbaarheden en kunnen verhoogde risico's vormen voor de operationele veerkracht. Wanneer je een intern onderzoek uitvoert en alle systemen analyseert, moet je de volgende resultaten meenemen. ICT-risicobeheer Een robuust ICT-risicobeheerproces zorgt ervoor dat alle potentiële kwetsbaarheden en bedreigingen op een gestructureerde manier worden geïdentificeerd, beoordeeld en beperkt. Binnen dit onderdeel moeten bedrijven kritieke verantwoordelijkheden voor de controlefunctie definiëren, zodat er verantwoording wordt afgelegd over de implementatie van en het toezicht op ICT-beveiligingsmaatregelen. ICT-risicomanagement door derden Aangezien veel financiële instellingen afhankelijk zijn van diensten van derden, is een rigoureus beheer van deze relaties van cruciaal belang om veerkracht te behouden en inbreuken te voorkomen die afkomstig kunnen zijn van externe partners. Dit deel van het raamwerk sluit aan bij de laatste taken, waarbij het bedrijf verantwoordelijkheden moet definiëren voor het beheersen van intern en extern risicomanagement. Toezicht op kritieke externe dienstverleners Kritieke externe dienstverleners moeten worden onderworpen aan grondig toezicht om het risico dat ze kunnen vormen voor de operationele weerbaarheid van de financiële sector te minimaliseren. Opzetten van beleid, procedures, protocollen en tools voor netwerkbeveiligingsbeheer en beveiliging van informatie in doorvoer, wat bijdraagt aan de algehele digitale en operationele veerkracht. Digitale operationele veerkracht testen Het regelmatig testen van digitale activiteiten helpt zwakke plekken te identificeren en maakt proactieve maatregelen tegen cyberbedreigingen mogelijk. Het belang benadrukken van het behoud van de integriteit, vertrouwelijkheid en beschikbaarheid van gegevens en systemen. Elk bedrijf zal beleid en procedures moeten implementeren om de kriticiteit van ICT-middelen te beoordelen. ICT-gerelateerde incidenten Met goede incidentbestrijdingsplannen en rapportagemechanismen kunnen ICT-gerelateerde beveiligingsincidenten effectief worden beheerd. Deze plannen hebben betrekking op operationele procedures, capaciteits- en prestatiebeheer, beheer van kwetsbaarheden en patches, gegevens- en systeembeveiliging en logging. Informatie delen Financiële entiteiten kunnen profiteren van collectieve informatie en hun verdedigingsmechanismen verbeteren door informatie over risico's en inbreuken te delen, de cruciale rol van encryptie bij de beveiliging van gevoelige gegevens te benadrukken en een uitgebreid beleid voor cryptografische controles voor te stellen. Dit gaat verder dan wat u deelt met uw leveranciers, klanten of werknemers. Het gaat ook om het continu verbeteren van uw cyberweerbaarheid en het faciliteren van communicatie met bevoegde autoriteiten. Een cruciale implementatie van al het bovenstaande is ervoor zorgen dat uw bedrijf Cyber Awareness bevordert. Het opnemen van cyberweerbaarheid in uw bedrijf en de DORA-regelgeving benadrukt de noodzaak van bewustwordingsprogramma's voor ICT-beveiliging en digitale operationele weerbaarheidstrainingen om het cyberbewustzijn en de cyberparaatheid van de organisatie te vergroten. Voorbereiding op DORA De Europese toezichthoudende autoriteiten (de EBA, EIOPA en ESMA) hebben de opdracht gekregen een reeks beleidsproducten te ontwikkelen om de toepassing van DORA te vergemakkelijken. In samenwerking met het Agentschap voor Cyberbeveiliging van de Europese Unie (ENISA) streven zij naar standaardisering van elementen zoals ICT-beveiligingsbeleid, toegangsbeheer, anomaliedetectie, bedrijfscontinuïteit en reactie- en herstelplannen. De implementatie van DORA is gepland voor begin 2025 en is dus nog in ontwikkeling. Hieronder bespreken we de vier cruciale pijlers van de wet, zodat je je bedrijf kunt voorbereiden om zich aan te passen aan het toekomstige beleid. Beschikbaarheid In de context van DORA verwijst beschikbaarheid naar de toegankelijkheid van gegevens en IT-diensten. Financiële instellingen moeten ervoor zorgen dat hun systemen toegankelijk zijn en werken zoals afgesproken, ongeacht gepland onderhoud of onverwachte incidenten. Hoge beschikbaarheid gaat niet alleen over het voldoen aan standaarden; het gaat over het waarmaken van de fundamentele belofte van dienstverlening die ten grondslag ligt aan het vertrouwen in de sector. Om ervoor te zorgen dat uw gegevens toegankelijk zijn, is een nauwgezette audit van uw IT-systemen en -diensten nodig. Identificeer single points of failure en pak deze aan met redundanties en noodplannen. Gebruik geavanceerde monitoringtools om de gezondheid en prestaties van uw systemen voortdurend te controleren. Samenwerking is essentieel om de beschikbaarheid te handhaven. Dit betekent nauw samenwerken met externe leveranciers om ervoor te zorgen dat hun diensten uw beschikbaarheidsdoelen halen. Het betekent ook samenwerken met andere financiële instellingen om sectorbrede protocollen op te stellen voor het in stand houden van de service tijdens crises. Authenticiteit Authenticiteit is een ander cruciaal element van DORA. Financiële instellingen moeten de herkomst van gegevens en de integriteit van IT-processen kunnen verifiëren. Dit is van fundamenteel belang om fraude te voorkomen en de nauwkeurigheid van financiële informatie te handhaven. Digitale handtekeningen implementeren Digitale handtekeningen spelen een belangrijke rol bij het waarborgen van de authenticiteit van gegevens in een digitale omgeving. Door gebruik te maken van cryptografische solide technieken kunnen financiële instellingen een digitale 'vingerafdruk' van hun documenten maken die vrijwel onmogelijk te vervalsen is. Identiteitsverificatie versterken Naast gegevens is ook de authenticiteit van transactiedeelnemers van belang.