Waar voorheen het analyseren en kennis nemen van de risico`s voldoende was, zal de Digital Operational Resilience Act (DORA) bedrijven verplichten om weerbaar te zijn. Namens zichzelf én de sector.
Want cybersecurity is een kat-en-muisspel. Maar eentje in het hoge tempo van technologische ontwikkeling en speelveld waar pogingen tot verstoren of hacken een gegeven zijn. En hiermee is bescherming geen kwestie van risico`s mijden, maar van risico`s indammen en weerbaar zijn.
1 januari 2023 is DORA in werking getreden en geeft het bedrijven exact 2 jaar de tijd om zich er op voor te bereiden. De wetgeving zal vanaf 1 januari 2025 daadwerkelijk van toepassing zijn.
DORA is van invloed op bedrijven in de financiële sector en de dienstverlening eromheen. Denk aan banken, beleggingsinstellingen, beheermaatschappijen, aanbieders van crypto-activa, verzekeringsmaatschappijen en handelsplatformen. Het gaat hierbij ook om derde partijen die essentiële diensten verlenen aan deze bedrijven, zoals cloud platforms, managed service providers, cybersecurity bedrijven en aanbieders van data-analyse diensten.
Op een hoop gebieden heeft DORA overlap met NIS2, dat ook van toepassing is op de financiële sector. Maar voor deze sector is DORA leidend: waar DORA specifieker is, krijgt dit voorrang boven NIS2. Toezicht op het naleven van de wetgeving kan komen van partijen als de Europese Centrale Bank of De Nederlandse Bank.
Ook in de fundamenten van de wetgeving is er overlap met NIS2, zoals ICT-risicobeheer, rapportage van incidenten en risicobeheer van derden. Maar een aantal aspecten van DORA springen eruit.
Tijdens het opzetten van een digitale infrastructuur of software is testen natuurlijk essentieel. Maar DORA verplicht je om digitale processen te testen. En dit vraagt om een meer systematische aanpak. Als bedrijf zal je zelf de digitale slagaders van je bedrijf in kaart moeten brengen, analyseren wat de kwetsbare (knel)punten zijn en hoe deze op een veilige manier te testen zijn. Een voorbeeld van een DDOS aanval helpt om dit concreter te maken.
Stel, je bent een platform dat online betalingen voor webshops ondersteunt, en een DDOS-aanval maakt je publieke website onbereikbaar voor gebruikers. Kan het automatische betalingsverkeer op websites van derden nog steeds doorgaan, of moeten wij daar handmatig in schakelen? Hoe en via welke kanalen ga je klanten en gebruikers op de hoogte stellen? Daarnaast zijn er verschillende gebruikers die een vraag voor de klantenservice hebben en via de chat of telefoon contact hebben. Kan jouw klantenservice deze vragen nog steeds behandelen? En hoe gaan zij de situatie uitleggen wanneer het niet mogelijk is om hun vraag te beantwoorden?
Het is duidelijk dat er veel vragen zijn die je als bedrijf al beantwoord zou willen hebben. En in de financiële sector, waar zowel de bedrijfsgegevens als de gevolgen nóg gevoeliger zijn, is het denken in en testen van processen nog belangrijker. Voor grote organisaties is er vanuit De Nederlandse Bank en Autoriteit Financiële Markten het TIBER-NL programma, dat testaanvallen uitvoert die gebaseerd zijn op realistische dreiging.
Voor velen van ons lijken veel takken van de financiële industrie hypercompetitief. Het gaat tenslotte om grote belangen en bedragen. Maar het gaat ook over een systeem waar vertrouwen essentieel is, en misbruik van het systeem op de loer ligt. Niet alleen door schimmige webshops of intransparante gokwebsites, maar ook door criminelen die goedwillige maar kwetsbare bedrijven gebruiken als achterdeur voor een grotere organisatie.
Tegenwoordig wordt bij vrijwel elk bedrijfsproces een digitaal systeem of platform gebruikt. De meesten zijn wij ons ook bewust van, maar er zijn er genoeg waar wij minder snel aan zouden denken. Welke (bedrijfs)processen zijn er en middels welke systemen lopen deze? Door stapsgewijs te kijken naar hoe bijvoorbeeld een order, aanvraag of adviestraject door jouw organisatie gaat, krijg je een beter beeld van welke systemen je afhankelijk bent.
DORA vraagt bedrijven om zowel proactief als reactief actie te ondernemen. Om in hoofdlijnen een lijst te maken van waar je mee aan de slag kan, leg je elk van de belangrijke processen afleggen tegen de drie acties waar DORA op hamert: detecteren, reageren en herstellen.
1. Detecteren
Als er een poging zou zijn om dit proces te verstoren of te infiltreren, zouden we het dan opmerken? En zo ja, waaraan? Dit zijn de soort stappen waar bepaalde tools en software je enorm bij kunnen helpen.
2. Reageren
Wat is onze reactie als een van deze scenario’s zich voordoet, zowel naar onze eigen medewerkers als naar de buitenwereld? Wie zijn de aanspreekpunten en wie kunnen wij inschakelen als het onze pet te boven gaat? Het is voor veel bedrijven onmogelijk om dit allemaal zelfstandig aan te pakken, zeker omdat de emoties hoog op kunnen lopen. Tijdig toegeven dat externe hulp nodig is, voorkomt vaak een hoop schade. Toegeven dat externe hulp nodig is, voorkomt vaak een hoop schade.
3. Herstellen
Hoe lang duurt het om de getroffen processen weer op gang te krijgen? Zijn er recente back-ups veilig gesteld? En hoeveel tijd en energie zijn we kwijt aan de handmatige werkzaamheden om dit te herstellen? Het bijwerken van lopende orders, openstaande debiteuren/crediteuren of klantgegevens vraagt vaak meer tijd dan veel bedrijven denken. Sommige dingen moeten nou eenmaal met een menselijk oog in de gaten gehouden worden. Een realistischer beeld van het herstel voorkomt onrealistische beloften aan klanten, investeerders, toezichthouders, medewerkers en uiteindelijk jezelf.
Nieuwsgierig naar hoe wij onze opdrachtgevers helpen aan wetgeving zoals DORA en NIS2 te voldoen? Lees meer over onze aanpak en hoe wij uw bedrijf hierbij kunnen helpen op onze site.
Belangrijke opmerking en disclaimer: dit artikel is gebaseerd op Nederlandse bronnen en kan details bevatten die niet van toepassing zijn op jouw land. Dit artikel is niet bedoeld als bindend juridisch advies.
Op dit vlak kan het cruciaal zijn om bepaalde informatie over cybersecurity of incidenten te delen met toezichthouders en andere financiële instellingen. DORA kan in sommige gevallen bedrijven verplichten dit te doen.
De klassieke manier van een netwerk beveiligen wordt ook wel het ‘eggshell computing’-model genoemd. In dit geval...
In onze vorige artikelen over NIS2 en DORA bespraken we de belangrijkste veranderingen en verplichtingen die de nieuwe...
Waar voorheen het analyseren en kennis nemen van de risico`s voldoende was, zal de Digital Operational Resilience Act...
European law dictates that companies, financial corporations and government agencies are required to secure their sensitive personal...
NIS2 verschuift de focus van individuele bedrijven naar supply chains en de maatschappij. En dat zou jij ook moeten doen....
Personal data is everywhere: on-premises and in the cloud, from file servers and databases to data warehouses and data...
The answer to “how much security is enough?” all depends on the data that the organization possesses. And then what must be...