Blogs
& video

De belangrijkste aspecten van DORA-naleving voor CISO's

Mostafa Daouairi

Mostafa Daouairi, Security Business Lead
maandag 23 september 2024

DORA Readiness: waar te beginnen?

Met de groeiende nadruk op digitale weerbaarheid in de financiële sector is de Digital Operational Resilience Act (DORA) een cruciale regelgeving geworden voor financiële entiteiten en hun IT-leveranciers. DORA is ontworpen om ervoor te zorgen dat organisaties alle soorten ICT gerelateerde verstoringen en incidenten kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen.

Voor CISO's introduceert DORA verschillende gebieden die aandacht vereisen, variërend van risicobeheer tot toezicht op derde partijen. Hieronder verkennen we de belangrijkste gebieden waar CISO's zich op moeten richten om naleving en operationele beveiliging te garanderen.

Robuust ICT risicobeheer framework

De basis van DORA is het gedetailleerde ICT risicobeheer framework. Zoals uiteengezet in hoofdstuk II van DORA en de bijbehorende technische standaarden (CDR 2024/1774), moeten financiële entiteiten een uitgebreid systeem hebben voor het beheren van ICT risico's.

Dit omvat:

  • Governance en organisatiestructuur
    Duidelijke rollen en verantwoordelijkheden voor risicobeheer.
  • Risico-identificatie en -beoordeling
    Regelmatige evaluatie van kwetsbaarheden en bedreigingen.
  • Beschermings- en preventiemechanismen
    Beheersmaatregelen en strategieën om geïdentificeerde risico's te beperken.
  • Respons- en herstelprotocollen
    Procedures voor het herstellen van ICT incidenten, inclusief back-upprocedures.
  • Continue verbetering
    Processen om te leren van incidenten en beveiligingspraktijken te ontwikkelen.

Voor kleinere financiële instellingen introduceert DORA een vereenvoudigd framework dat de essentie van deze vereisten behoudt, maar minder rigoureus is in omvang en detail.

Classificatie en rapportage van incidenten en bedreigingen

DORA benadrukt het belang van effectief incident- en bedreigingsbeheer en wijdt hoofdstuk III aan dit onderwerp. Financiële organisaties zijn verplicht robuuste incidentbeheersprocessen op te zetten, waarbij ze incidenten classificeren op basis van vooraf gedefinieerde criteria en deze rapporteren aan de relevante autoriteiten. Rapportages moeten een duidelijke tijdlijn volgen, inclusief initiële meldingen, tussentijdse updates en eindrapporten.

Opmerkelijk is dat DORA in zijn aanpak aansluit bij de NIS2 richtlijn, waarbij organisaties worden aangespoord om significante cyberbedreigingen en ICT incidenten te melden aan klanten en autoriteiten.

Uitgebreide testen van digitale operationele weerbaarheid

DORA verplicht financiële entiteiten om rigoureuze weerbaarheidstesten uit te voeren, zoals gespecificeerd in hoofdstuk IV. CISO's moeten ervoor zorgen dat hun organisaties alle ICT systemen die kritieke functies ondersteunen ten minste jaarlijks testen. Deze tests kunnen omvatten:

  • Kwetsbaarheidsbeoordelingen.
  • Penetratietesten.
  • Netwerkbeveiligingsreviews.
  • Scenario-gebaseerde en prestatietesten.

Voor kritieke systemen moet Threat Led Penetration Testing (TLPT) ten minste eens in de drie jaar worden uitgevoerd. Dit zorgt ervoor dat financiële organisaties niet alleen kwetsbaarheden detecteren, maar ook hun weerbaarheid tegen realistische bedreigingen valideren.

Beheer van risico's gerelateerd aan ICT derden/leveranciers

Een van de meest uitdagende aspecten van ICT risicobeheer is het omgaan met risico's van derden. DORA introduceert strikte vereisten voor het beheren van ICT dienstverleners, zoals beschreven in Hoofdstuk V. Financiële entiteiten moeten:

  • Strategieën ontwikkelen voor het beheren van risico's van derden.
  • Grondige beoordelingen uitvoeren voordat ze met IT leveranciers in zee gaan.
  • Exit strategieën opstellen om risico's te beperken als de leverancier niet aan de normen voldoet.

Daarnaast moeten contracten met ICT leveranciers specifieke clausules bevatten om naleving van DORA en informatiebeveiligingsnormen te waarborgen.

Toezicht op kritieke ICT dienstverleners

Voor kritieke ICT dienstverleners krijgt het toezicht een extra laag van controle. Volgens Artikel 33 zullen de Europese Toezichthoudende Autoriteiten (ESA's) een Lead Overseer aanstellen om deze leveranciers te monitoren en ervoor te zorgen dat zij passende risicobeheerprocedures handhaven. Deze toezichthouders hebben uitgebreide bevoegdheden, waaronder toegang tot alle benodigde informatie, het recht om te onderzoeken en de autoriteit om sancties op te leggen.

Uitwisseling van informatie over cyberbedreigingen

Hoewel vaak over het hoofd gezien, benadrukt hoofdstuk VI van DORA het belang van het delen van cyberbedreigingsinformatie. Financiële instellingen, bevoegde autoriteiten en ICT leveranciers moeten samenwerken om informatie over opkomende bedreigingen uit te wisselen. Dit helpt de collectieve verdediging in de sector te versterken.

Rol van bevoegde autoriteiten

DORA schetst de rol van bevoegde autoriteiten bij het handhaven van de regelgeving. Voor de meeste financiële entiteiten zullen nationale toezichthouders in elk EU-lidstaat toezicht houden op naleving. Voor bepaalde organisaties, zoals significante kredietinstellingen, valt de handhaving echter onder grotere entiteiten zoals de Europese Centrale Bank (ECB) of de Europese Autoriteit voor Effecten en Markten (ESMA).

Sancties en handhaving

Naleving van DORA is niet optioneel. Sancties voor niet-naleving variëren per land, maar bevoegde autoriteiten hebben de bevoegdheid om openbare kennisgevingen uit te geven, boetes op te leggen en zelfs operaties te stoppen die in strijd zijn met de regelgeving. Voor kritieke ICT derden/leveranciers kunnen boetes oplopen tot 1% van hun jaarlijkse wereldwijde omzet.

DORA Readiness: waar te beginnen?

DORA is complex, maar CISO's moeten ervoor zorgen dat hun organisaties niet alleen compliant zijn, maar ook weerbaar. De regelgeving raakt elk aspect van ICT risicobeheer, van intern bestuur tot relaties met derden.

Om te helpen bij de naleving van het ICT en vooral het cloud gedeelte biedt Rubicon een DORA Readiness Assessment. Dit helpt jouw organisatie bij het evalueren van haar technische paraatheid voor DORA, met name op gebieden zoals risicobeheer, weerbaarheidstesten en toezicht op derden. Neem voor meer informatie contact met ons op.

Rubicon maakt gebruik van cookies

Wij gebruiken cookies om inhoud en advertenties te personaliseren, sociale media-functies aan te bieden en het verkeer naar onze website te analyseren. Wij delen ook informatie over jouw gebruik van onze website met onze partners voor sociale media, reclame en analyses. Onze partners kunnen deze informatie combineren met andere gegevens die zijn verstrekt of die zij hebben verzameld in het kader van jouw gebruik van de diensten.