Maak je klaar voor de Digital Operational Resilience Act

Door John Leyden • 6 juni 2023

Financiële dienstverleners zullen worden uitgedaagd om hun operationele veerkracht te verbeteren met een nieuwe reeks regelgeving waarvan de impact tot ver buiten de sector zal reiken.

De Digital Operational Resilience Act (DORA) consolideert en breidt de bestaande regels voor cyberbeveiliging en operationele veerkracht uit voor financiële dienstverleners die actief zijn in de Europese Unie.

Meer specifiek introduceert DORA specifieke en prescriptieve eisen op het gebied van informatie- en communicatietechnologie (ICT)-risicobeheer en incidentrapportage. De verordeningen werden in januari 2023 door de EU-Raad goedgekeurd, waarmee de klok begon op een implementatieperiode van 24 maanden.

Zowel bedrijven uit de financiële sector als hun leveranciers van ICT-technologie (zoals cloudplatforms en aanbieders van data-analyse) hebben tot 17 januari 2025 de tijd om aan de nieuwe regelgeving te voldoen.

Will Richmond-Coggan, partner bij het Britse advocatenkantoor Freeths en specialist in gegevensbescherming en cybergeschillen, merkte op: “De behoefte aan deze regelgeving werd gedreven door de toenemende afhankelijkheid van financiële instellingen van hun digitale systemen en de onderlinge verbondenheid van die systemen in de hele financiële sector.

Banken zijn al lange tijd verplicht het operationele risico te beheersen door middel van audits, controle en toegang tot voldoende kapitaal. Maatregelen om de operationele veerkracht te garanderen in het licht van het groeiende probleem van malware-aanvallen en criminele hacking zijn minder volwassen, een tekortkoming die de DORA-regelgeving probeert aan te pakken.

“Het is duidelijk dat de belangrijkste motor achter de wetgeving het creëren van consistentie en zekerheid is over de technologische veerkracht van elke entiteit binnen de Europese financiële sector, samen met hun tussenpersonen, dochterondernemingen en externe leveranciers”, vertelde Richmond-Coggan aan ISMS.com . “De wetgeving heeft tot doel een verbetering van de transparantie van incidenten en de robuustheid van het systeem te bewerkstelligen door de minimumverwachtingen voor financiële dienstverleners te verhogen.”

Vijf pijlers

De vijf belangrijkste pijlers onder de wetgeving hebben betrekking op kwesties als: risicobeheer, incidentrapportage, gestandaardiseerde veerkrachttests, het delen van inlichtingen en het beheer van risico's van derden.

De verordening biedt de mogelijkheid om de robuustheid van de sector als geheel te verbeteren, maar alleen als “organisaties de mogelijkheden omarmen om informatie te bundelen en bedreigingsintelligentie om elkaar te helpen zwakke punten te identificeren en aan te pakken”, concludeerde Richmond-Coggan.

Luke Dash, hoofddirecteur van ISMS.online, merkte op: “Een van de cruciale principes van DORA is dat organisaties een proactieve aanpak moeten hanteren die voortdurende risico-identificatie en het opzetten van robuuste beschermings- en preventiemaatregelen met zich meebrengt.”

Dash vervolgde: “Dit zal organisaties in staat stellen eventuele zwakke punten, tekortkomingen of hiaten in hun digitale activiteiten onmiddellijk te identificeren en te elimineren, waardoor de integriteit en veiligheid van hun systemen wordt gewaarborgd.”

John Elliott, beveiligingsadviseur bij de leverancier van webbeveiligingstools Jscrambler, zei dat de introductie van DORA betekent dat organisaties, in plaats van simpelweg preventieve controles in te voeren, verplicht zullen zijn om een “meer holistische visie te hanteren die detectie, respons en herstel omvat”.

“Het vereist ook dat entiteiten niet alleen over veerkrachtige systemen beschikken, maar ook dat ze hun veerkracht testen en bewijzen”, voegde Elliott eraan toe.

De basis leggen

Normen zoals ISO 27001 kan een cruciale rol spelen bij het helpen van organisaties bij het naleven van de Digital Operational Resilience Act (DORA).

ISO 27001 bestrijkt verschillende gebieden die relevant zijn voor de naleving van DORA, waaronder risicobeoordeling, incidentrespons, bedrijfscontinuïteit en operationele veerkracht. “Organisaties die de ISO 27001-certificering al hebben behaald of de principes ervan hebben geïmplementeerd, zullen een solide basis hebben om veel van de veiligheids- en veerkrachtaspecten aan te pakken die DORA vereist”, ISMS. online's Dash uitgelegd.

“Bovendien komt de nadruk van ISO 27001 op een risicogebaseerde aanpak en voortdurende verbetering overeen met de geest van DORA, aangezien beide normen proactief risicobeheer en de voortdurende verbetering van de operationele veerkracht bevorderen”, voegde hij eraan toe.

Dash vervolgde: “Het implementeren van ISO 27001 kan organisaties helpen potentiële kwetsbaarheden te identificeren en aan te pakken, hun beveiligingshouding te versterken en de noodzakelijke processen en controles in te voeren om aan de DORA-vereisten te voldoen.”

Andere deskundigen waren het erover eens dat de toepassing van ISO 27001 de basis legt voor het ambitieuzere doel om te komen tot naleving van DORA.

Elliott van Jscrambler legde uit: “Aangezien artikel 5(4) [van DORA] organisaties verplicht een Information Security Management System of ISMS te implementeren, zal het volgen van standaarden als 27001 voor de meeste organisaties de logische keuze zijn om hen zowel een structuur te geven voor hun informatiebeveiliging als om om aan een toezichthouder te kunnen aantonen dat zij over een ISMS beschikken.”

Dash van ISMS.online voegde hieraan toe dat door 27001 als opstapje te gebruiken, “organisaties hun compliance-inspanningen kunnen stroomlijnen en een proactieve inzet kunnen tonen voor informatiebeveiliging en operationele veerkracht”, een essentieel aspect van het streven naar compliance met DORA.

“ISO 27001 kan organisaties ook in staat stellen om in de loop van de tijd andere standaarden bovenop te leggen, waardoor de naleving in het algemeen voor organisaties wordt vereenvoudigd naarmate het risicolandschap zich aanpast”, concludeert Dash.

Anglo-bestand

DORA is een EU-regelgeving, en aangezien Groot-Brittannië geen deel uitmaakt van de EU, heeft het geen direct effect – althans niet op de Britse wetgeving. In het Verenigd Koninkrijk gevestigde entiteiten die hun diensten aanbieden aan klanten in de EU moeten echter voldoen aan DORA.

“De regering heeft aangegeven dat zij wetgeving zal opstellen met betrekking tot de operationele veerkracht van derde partijen, en de BOE [Bank of England]/PRA en FCA [Finacial Conduct Authority] hebben gezamenlijk overleg gevoerd over dit gebied, hoewel er nog geen formele regelgeving is verschenen.” volgens Jscrambler's Elliott. “De bank heeft andere programma’s die aansluiten bij sommige aspecten van DORA, bijvoorbeeld de vereiste voor penetratietests op basis van bedreigingen in CBEST.”

ISMS.online nodigde het Information Commissioner's Office (ICO) uit om commentaar te geven op hoe snel DORA door Britse organisaties zou kunnen worden aangenomen en of de ICO al dan niet een rol zal spelen bij het bevorderen of handhaven van de regelgeving. Het weigerde commentaar te geven.

obstakels

Het realiseren van naleving van DORA zal waarschijnlijk een groot project worden.

Jscrambler's Elliott merkte op: “Het grootste probleem dat ik voorzie is voor middelgrote financiële instellingen die te groot zijn om te profiteren van de vrijstellingen voor kleine bedrijven en micro-ondernemingen, maar die voorheen niet zo'n geavanceerde benadering van cyberbeveiliging hoefden te hebben. Ze hebben niet veel tijd om de technische en filosofische veranderingen door te voeren die de verordening vereist.”

Hoe snel getroffen organisaties aan DORA kunnen voldoen, zal worden beïnvloed door vele factoren, waaronder “bedrijfsgrootte, infrastructuurcomplexiteit en organisatorische bereidheid om nieuwe manieren van werken te omarmen” ISMS. online's Dash uitgelegd.

“De DORA-regelgeving stelt veel eisen, waaronder het uitvoeren van risicobeoordelingen, het versterken van de operationele veerkracht en het opzetten van robuuste incidentresponsprocedures”, concludeerde Dash. “Het werken aan deze doelen en het voldoende verankeren van deze processen kan enkele maanden tot enkele jaren in beslag nemen.”

Compliance-professionals en -platforms kunnen “helpen het implementatieproces te stroomlijnen en voortdurende compliance te garanderen”, concludeert Dash.

DORA-checklist van 15 stappen

Download deze handige checklist van 15 stappen om u op weg te helpen op weg naar compliance. Met nog maar 18 maanden te gaan voordat de Digital Operational Resilience Act van kracht wordt, is er nooit een beter moment geweest om aan de slag te gaan!

Nu downloaden

John Leiden

John Leyden schrijft al meer dan twintig jaar over computernetwerken en cyberbeveiliging. Vóór de komst van internet werkte hij als misdaadverslaggever bij een plaatselijke krant in Manchester. John heeft een diploma in elektronica behaald aan City, University of London.

Lees meer van John Leyden

Data Privacy 22 augustus 2024

bedrijven worden aangespoord om de 'snel evoluerende' ai-regelgeving te volgen

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data...

John Leiden

Cyber security 20 juni 2024

waarom leveranciers moeite kunnen hebben om het ‘secure by design’-momentumbanner in stand te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Tientallen technologieleveranciers hebben zich aangesloten bij de door de Amerikaanse overheid gesteunde Secure by Design-belofte. Maar zal deze belofte een breuk met het verleden betekenen?

John Leiden

Cyber security 28 May 2024

het decoderen van de nieuwe richtlijnen van de ncsc voor in de cloud gehoste scada-banner

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA

Systemen voor operationele technologie (OT) bewaken en besturen automatisch processen en apparatuur die van alles aansturen, van energiecentrales tot slimme ziekenhuizen.

John Leiden