Hoe bedrijven zich kunnen voorbereiden op de implementatie van DORA

Door Nicholas Fearn • 30 July 2024

Financiële instellingen en IT-dienstverleners hebben slechts zes maanden de tijd om aan t te voldoenDe Digital Operational Resilience Act (DORA) van de Europese Unie. DORA is vanaf 17 januari 2025 van toepassing op bedrijven en heeft tot doel de cyberveiligheid van Europese banken, verzekeraars, beleggingsondernemingen en andere financiële instellingen te versterken, evenals van de externe leveranciers die hen ICT-diensten leveren. 

Om ervoor te zorgen dat de steeds meer gedigitaliseerde Europese financiële dienstensector kan functioneren tijdens een ernstige cyberaanval of IT-storing, hebben de strenge eisen van DORA betrekking op ICT en risicobeheer van derden, testen van digitale operationele veerkracht, rapportage van cyberincidenten, het delen van informatie over bedreigingen en vele andere gebieden. Het zal niet alleen gevolgen hebben voor in de EU gevestigde bedrijven, maar ook voor Britse bedrijven die financiële of ICT-diensten leveren aan Europese klanten. Hoe kunnen bedrijven zich dus voorbereiden op de implementatie van DORA?

Voorbereiding op DORA

Terwijl bedrijven zich voorbereiden op de introductie van DORA en naleving willen garanderen, moeten ze de tijd nemen om de belangrijkste vereisten te begrijpen en te begrijpen hoe deze hun dagelijkse activiteiten en activiteiten zullen beïnvloeden. 

Rayna Stamboliyska, CEO van vooruitziende strategen RS Strategy, zegt dat er twee belangrijke aspecten zijn waarmee bedrijven hier rekening mee moeten houden. De eerste is het bereiken van operationele veerkracht door risico's te identificeren en aan te pakken met behulp van dreigingsgestuurde penetratietesten. Ten tweede moeten bedrijven ervoor zorgen dat al hun contracten en partnerschappen voldoen aan de eisen van DORA als onderdeel van een grondig risicobeheerproces van derden. 

Ze vertelt ISMS.online: “Vervolgens kunt u een redelijke en gestructureerde aanpak opstellen om in lijn te komen met DORA en uw klanten en partners te laten weten dat u op weg bent naar compliance.”

Een andere belangrijke stap is het implementeren van het DORA-compliancebeleid voor elk beveiligingshulpmiddel dat in het hele bedrijf wordt gebruikt, aldus Crystal Morin, cybersecuritystrateeg bij cloudbeveiligingsbedrijf Sysdig. Hierdoor kunnen bedrijven hun cybersecurity- en IT-stacks controleren op beleidskwesties, zegt ze. 

Ze raadt bedrijven ook aan Infrastructure-as-code (IaC) en policy-as-code (PaC) te gebruiken voor het codificeren van hun management- en compliance-eisen, wat zal helpen het compliance-proces te stroomlijnen.

Morin legt uit: “As-code-artefacten zijn verdedigbaar en kunnen worden gebruikt tijdens regelgevings-, risico- en auditbeoordelingen. Bovendien schalen deze artefacten gemakkelijk en behouden ze de consistentie tussen omgevingen.”

IT-risico beheren

Om aan hun DORA-verplichtingen te voldoen, moeten bedrijven een robuuste strategie voor IT-risicobeheer ontwikkelen en implementeren. Deze strategie moet beleid, procedures en instrumenten omvatten voor het beheersen van alle risicogebieden, inclusief bestuur, monitoring en rapportage, betoogt Graham Thomson, hoofd informatiebeveiliging bij advocatenkantoor Irwin Mitchell. “Het raamwerk moet aansluiten bij uw bedrijfsstrategie en doelstellingen, en moet regelmatig worden herzien en bijgewerkt”, zegt hij. 

In het geval van een ernstig incident dat de continuïteit, integriteit, veiligheid of beschikbaarheid van IT-systemen aantast, moeten bedrijven dit melden aan de relevante autoriteiten onder DORA. Thompson zegt dat dit van hen vereist dat ze een speciaal rapportageproces opzetten met behulp van een ‘gestandaardiseerd formaat’ dat voldoet aan ‘specifieke tijdsbestekken en drempels’ van elke autoriteit. 

Om technische fouten te identificeren en te beperken, dringt Thompson er bij bedrijven op aan om hun IT-systemen regelmatig te testen met behulp van kwetsbaarheidsscans, penetratietests, continu beheer van de cloudbeveiliging en op scenario's gebaseerde rode teams. Hij voegt eraan toe: “Documenteer de resultaten en onderneem actie om eventuele zwakke punten op te lossen.”

Als laatste stap in de voorbereiding op DORA beveelt Thompson bedrijven aan een grondig due diligence-onderzoek uit te voeren op hun externe IT-serviceproviders om externe risicofactoren te identificeren en te beheren. Hij voegt eraan toe: “Zorg ervoor dat uw contracten belangrijke rechten omvatten, zoals toegang, inspectie en gegevensbescherming.”

De impact op Britse bedrijven

Ondanks dat Groot-Brittannië in 2020 de Europese Unie verlaat, zullen veel Britse bedrijven gevolgen ondervinden van de introductie van DORA en moeten zij daarom stappen ondernemen om vóór de deadline van januari 2025 aan de nieuwe wet te voldoen. 

Stamboliyska van RS Strategy legt uit dat alle Britse bedrijven die financiële of kritische informatie- en communicatietechnologiediensten aanbieden aan klanten in de EU, zich aan de DORA-vereisten moeten houden.

Het negeren van deze regelgevende verplichtingen zou kunnen leiden tot aanzienlijke financiële schade en reputatieschade voor Britse bedrijven die in de EU actief zijn. “Het niet naleven van DORA kost 1% van uw dagelijkse omzet gedurende maximaal zes maanden”, vervolgt Stamboliyska. “En zoals gebruikelijk bij sancties: als u daaraan wordt onderworpen, zou dit ook uw toegang tot de EU-markt en uw zakelijke reputatie belemmeren.”

Ze zegt dat Britse bedrijven hun inzet voor “robuuste veiligheid en operationele veerkracht” zullen demonstreren door zich aan DORA te houden. Dit zal hen helpen meer klanten en partners in de EU aan te trekken, waardoor hun “algehele concurrentievermogen op de markt” toeneemt.

Naast boetes die aan het bedrijf als geheel worden opgelegd, kunnen ook particulieren die zich niet aan de DORA houden aansprakelijk worden gesteld. Sean Wright, applicatiebeveiligingsleider bij Featurespace, legt uit: “Dit is een aanzienlijk verschil met andere soortgelijke regelgeving, waarbij zowel individuen als de organisatie aansprakelijk kunnen worden gesteld voor niet-naleving.”

Omdat hij verwacht dat grote aantallen Britse bedrijven de komende maanden door DORA zullen worden getroffen, roept Morin van Sysdig hen op om met spoed te beginnen met plannen. Een groot deel hiervan bestaat uit het evalueren van hun klantenbestanden, toeleveringsketens en andere zakelijke relaties om risicogebieden binnen de jurisdictie van DORA te vinden. Ze voegt eraan toe: “Bovendien moeten ze de DORA-regelgeving in gedachten houden naarmate hun bedrijfsvoering en klantenkring zich in de loop van de tijd ontwikkelen.”

De rol van raamwerken

Hoewel het voldoen aan DORA voor veel bedrijven een lastig vooruitzicht kan zijn, branchekaders zoals ISO 27001 bieden een basis van waaruit ze cyberrisico's kunnen begrijpen en beheren.

Marc Lueck, CISO van EMEA bij IT-beveiligingsbedrijf Zscaler, legt uit: “Frameworks zoals ISO 27001 zijn een goed begin om de vereisten aan de nieuwe regelgeving te laten voldoen, omdat ze aantonen dat een aantal basiscontroles al aanwezig zijn, zoals het bieden van connectiviteit in kernsystemen. systemen.”

Naast het implementeren van een professioneel cybersecurity-framework als onderdeel van DORA-compliance, adviseert Lueck om dit aan te vullen met een zero-trust-aanpak. Hij legt uit dat dit bedrijven zou helpen de risico's van derden te beoordelen en te meten. 

Martin Greenfield, CEO van het cybersecurity-monitoringplatform Quod Orbis, is het ermee eens dat ISO 27001 en vergelijkbare raamwerken bedrijven een “solide basis” bieden voor het aanpakken van hun IT-risico’s en het volgen van de DORA-vereisten. 

Hij merkt echter op hoe DORA “extra elementen introduceert” rond risico’s van derden, en hij zegt dat bedrijven ISO-praktijken moeten vergelijken met DORA-vereisten als ze van plan zijn deze samen te gebruiken. “Bij deze analyse moet bijzondere aandacht worden besteed aan de risicobeheeraspecten van derden, omdat daar significante verschillen kunnen liggen”, zegt hij. 

Nu de tijd om zich voor te bereiden op de DORA-deadline van januari 2025 snel begint te dringen, is het duidelijk dat zowel Europese als Britse financiële bedrijven en ICT-aanbieders de strenge eisen van DORA moeten gaan begrijpen en implementeren, als ze dat nog niet hebben gedaan. In het licht van de Crowdstrike-storing die de IT-systemen van bedrijven wereldwijd heeft verwoest, lijkt het beheersen van ICT-risico's van derden als onderdeel van DORA in het beste belang van alle bedrijven en niet alleen maar een afvinklijstje. 

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 8 januari 2026

Het compliance-tijdperk: hoe regelgeving, technologie en risico's de normen in het bedrijfsleven herschrijven (blog)

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Compliance is voor de meeste bedrijfsleiders niet het meest aantrekkelijke aspect. Ze zien het misschien als een noodzaak om druk van de regelgeving te vermijden, maar toch...

Nicholas Fearn

Cyber security 27 November 2025

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering lamleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak...

Nicholas Fearn

Cyber security 4 September 2025

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft de voortdurende cyberbeveiligingsrisico's van hun bedrijf aan het licht gebracht.

Nicholas Fearn