Blogs
& video

The CISO Guide to DORA

Mostafa Daouairi

Mostafa Daouairi, Security Business Lead
woensdag 11 september 2024

Een overzicht van uitdagingen en hoe Rubicon kan helpen

In een steeds complexere digitale wereld waarin cyberdreigingen aan de orde van de dag zijn, staan bedrijven voor ongekende uitdagingen om hun systemen en gegevens te beveiligen. Met name financiële instellingen zijn het doelwit van aanvallen door cybercriminelen, wat de urgentie voor robuuste beveiligingsnormen benadrukt. De Europese Unie heeft als reactie hierop de Digital Operational Resilience Act (DORA) geïntroduceerd, die vanaf 2024 financiële instellingen zal verplichten om hun digitale veerkracht te versterken en hun weerbaarheid tegen cyberdreigingen te waarborgen.

Voor Chief Information Security Officers (CISO's) is DORA een cruciale wetgeving om niet alleen operationele risico's te beperken, maar ook om compliance te garanderen en reputatieschade te voorkomen. Deze wetgeving gaat verder dan de bestaande beveiligingsnormen en vereist een proactieve en holistische benadering van cybersecurity en operationele weerbaarheid. Maar wat betekent dit concreet voor CISO’s en hoe kunnen zij zich voorbereiden op de implementatie van DORA?

Wat is DORA?

Digital Operational Resilience Act (DORA) is een onderdeel van een bredere reeks maatregelen van de Europese Unie gericht op het versterken van de digitale weerbaarheid van de financiële sector. Deze wetgeving dwingt financiële instellingen om ervoor te zorgen dat ze bestand zijn tegen verstoringen in hun IT-systemen, inclusief cyberaanvallen en andere vormen van technologische uitval. Het doel van DORA is om een geharmoniseerde benadering van digitale veerkracht binnen de Europese Unie te realiseren, wat betekent dat organisaties hun cybersecurity, incidentrespons, ICT-risicobeheer en externe leveranciersmanagement op één lijn moeten brengen met de nieuwe vereisten.

Wat is uniek aan DORA?

DORA is uniek in de manier waarop het operationele veerkracht en cybersecurity combineert in één raamwerk dat gericht is op de financiële sector. Het biedt een integrale benadering van risicobeheer, waarbij niet alleen aandacht is voor traditionele cybersecurity, maar ook voor de bredere operationele processen en externe toeleveranciers. Wat DORA bovendien onderscheidt, is de vereiste om regelmatig stresstests uit te voeren op ICT-systemen en de verplichting om duidelijke, gedocumenteerde plannen te hebben voor cyberincidenten en ICT-storingen. De wet legt daarnaast sterk de nadruk op transparantie en rapportageverplichtingen richting toezichthouders, wat betekent dat financiële instellingen hun IT-risico’s nauwkeurig moeten monitoren en rapporteren.

Wat is het verschil tussen DORA, NIS2, AI Act en GDPR?

Hoewel DORA specifiek is gericht op de financiële sector, zijn er andere wetgevingen die breder of in andere sectoren van toepassing zijn. NIS2, bijvoorbeeld, is de herziene EU-wetgeving voor netwerk- en informatiebeveiliging, gericht op kritieke infrastructuren buiten de financiële sector. De AI Act richt zich op de regulering van kunstmatige intelligentie en richt zich meer op ethische overwegingen en risicobeheer binnen AI-systemen. GDPR, de Algemene Verordening Gegevensbescherming, is daarentegen gericht op de bescherming van persoonsgegevens en de privacy van individuen. DORA onderscheidt zich door zijn specifieke focus op operationele veerkracht en ICT-risicobeheer binnen de financiële sector, waarbij het technologische en operationele continuïteit als prioriteit stelt.

De vijf pijlers van DORA en hun uitdagingen

DORA is opgebouwd rond vijf essentiële pijlers die financiële instellingen moeten implementeren om compliant te zijn:

  1. ICT Risk Management / Beheer van ICT-risico's
  2. ICT Incident Reporting / Meldingsplicht van ICT-incidenten
  3. Operational Resilience Testing / Testen van operationele veerkracht
  4. Third-Party Risk Management / Beheer van risico’s bij derden
  5. Information Sharing / Informatie-uitwisseling

Deze pijlers vormen de kern van de wetgeving en verplichten organisaties om proactieve maatregelen te nemen om hun digitale infrastructuur te versterken.

Hoewel DORA een duidelijke route biedt naar digitale weerbaarheid, staan CISO's voor aanzienlijke uitdagingen bij de implementatie van deze wetgeving:

  • Complexiteit van de regelgeving
    DORA brengt een complex raamwerk met zich mee dat grondige aanpassingen in bestaande beveiligingsprotocollen vereist.
  • Beperkte middelen
    Veel organisaties kampen met een gebrek aan middelen, zowel in termen van budget als personeel, om DORA adequaat te implementeren.
  • Afhankelijkheid van externe leveranciers
    De noodzaak om het risico bij derden goed te beheren wordt vaak onderschat.
  • Integratie met bestaande compliance-initiatieven
    CISO's moeten DORA integreren met andere compliance vereisten zoals GDPR en NIS2.
  • Continue monitoring en rapportage
    De noodzaak voor realtime monitoring van systemen en rapportages aan toezichthouders vergt nieuwe technologie en processen.
  • Incidentrespons
    Het ontwikkelen van een robuuste incidentresponsstrategie die aan DORA voldoet is uitdagend.
  • Cyberweerbaarheid testen
    De vereiste om regelmatig stresstests uit te voeren op de IT-systemen vraagt om extra technische capaciteiten en samenwerking tussen afdelingen.

Hoe kunnen deze uitdagingen worden aangepakt?

De hierboven genoemde uitdagingen kunnen worden aangepakt door een strategische en gestructureerde benadering van DORA-implementatie:

  • Regelgeving begrijpen
    CISO's moeten beginnen met een grondige analyse van DORA, waarbij duidelijk wordt hoe deze wetgeving zich verhoudt tot hun bestaande cybersecuritypraktijken.
  • Prioriteren van middelen
    Het toewijzen van budgetten en middelen specifiek voor de implementatie van DORA kan helpen om prioriteiten te stellen.
  • Third-party risico's beheren
    Het uitvoeren van regelmatige audits en evaluaties van externe leveranciers is cruciaal om de risico's in kaart te brengen en te beheersen.
  • Compliance-integratie
    Een geïntegreerde benadering van compliance zorgt ervoor dat DORA in lijn wordt gebracht met andere wetgevingen zoals GDPR en NIS2.
  • Realtime monitoring
    Door te investeren in geavanceerde monitoringtools kunnen organisaties sneller inspelen op incidenten en voldoen aan de rapportageverplichtingen.
  • Incidentrespons plannen
    CISO's moeten investeren in robuuste incidentrespons- en herstelplannen.
  • Regelmatige stresstests uitvoeren
    Door interne audits en externe tests kunnen bedrijven de zwakheden in hun IT-systemen identificeren en verhelpen.

Hoe Rubicon kan helpen

Rubicon biedt organisaties uitgebreide ondersteuning bij de implementatie van DORA door middel van een combinatie van deskundig advies, technische oplossingen en hands-on begeleiding:

  1. Wetgeving begrijpen
    Rubicon biedt workshops en assessments om CISO’s en hun teams te helpen de nuances van DORA te begrijpen en deze effectief toe te passen.
  2. DORA-assessment of on-demand workshop
    Via assessments en workshops kan Rubicon organisaties helpen om hun huidige positie te evalueren en een plan van aanpak op te stellen voor DORA-compliance.
  3. Microsoft-oplossingen implementeren
    Rubicon helpt bij de implementatie van Microsoft-oplossingen en technologieën om organisaties te ondersteunen bij de naleving van de vijf pijlers van DORA, inclusief geïntegreerde beveiligingsoplossingen op Azure.
  4. Compliance versnellen
    Rubicon heeft bewezen expertise in de financiële sector en maakt gebruik van accelerators en diepgaande kennis van Microsoft-producten om een versnelde en efficiënte implementatie van DORA te waarborgen.

Meld je aan voor de 3-daagse Cloud/DORA Readiness Assessment

Wil je snel inzicht in waar je organisatie kan verbeteren op het gebied van de 5 pijlers van DORA en hoe je dit specifiek kunt toepassen in Azure? Meld je aan voor onze Cloud/DORA Readiness Assessment van slechts 3 dagen. In deze korte assessment ontdek je precies waar je actie moet ondernemen om je Azure prestaties te optimaliseren. Binnen 72 uur weet je waar je staat en welke stappen je kunt zetten om de efficiëntie te verhogen.

Voor meer informatie en om je aan te melden, klik hier.

Rubicon’s SHIELD-aanpak: expertise en vaardigheden

Rubicon is een betrouwbare partner voor Microsoft security-oplossingen, mede dankzij de uitgebreide vaardigheden en expertise op de volgende gebieden:

  • Security advisory
    Adviseren over beveiligingsbeleid en -strategie.
  • Data protection
    Bescherming van gevoelige gegevens volgens de hoogste normen.
  • Information protection
    Het beveiligen van bedrijfsinformatie tegen datalekken.
  • Cyber defense
    Bescherming tegen geavanceerde cyberaanvallen.
  • Security monitoring (SIEM/SOC)
    Continue monitoring van systemen voor tijdige detectie en respons op incidenten.

Voor meer informatie of om te bespreken hoe Rubicon jouw organisatie kan helpen bij de implementatie van DORA, kun je contact opnemen met onze gespecialiseerde teams. Wij staan klaar om je te begeleiden bij iedere stap in jouw DORA-compliance reis.

Rubicon maakt gebruik van cookies

Wij gebruiken cookies om inhoud en advertenties te personaliseren, sociale media-functies aan te bieden en het verkeer naar onze website te analyseren. Wij delen ook informatie over jouw gebruik van onze website met onze partners voor sociale media, reclame en analyses. Onze partners kunnen deze informatie combineren met andere gegevens die zijn verstrekt of die zij hebben verzameld in het kader van jouw gebruik van de diensten.