Wat is Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) is een verordening die de digitale beveiliging van de financiële instellingen in de Europese Unie (EU) versterkt. Hoewel DORA in 2023 in werking is getreden, zal het vanaf januari 2025 volledig worden overgenomen door alle financiële instellingen van de EU en externe dienstverleners van informatiecommunicatietechnologieën (ICT) om hun verdediging tegen mogelijke cyberbedreigingen te verbeteren.

Lees verder voor meer informatie over de doelstellingen van DORA, de belangrijkste pijlers van naleving en hoe uw organisatie zich kan voorbereiden op DORA.

Het doel van DORA

De twee belangrijkste doelstellingen van DORA zijn het verbeteren van de manier waarop financiële diensten ICT-risico’s beheren en het verenigen van de bestaande regelgeving inzake ICT-risicobeheer in de afzonderlijke EU-lidstaten.

ICT-risicobeheer in de financiële sector aanpakken

Bij de financiële instellingen van de EU is de regelgeving inzake risicobeheer erop gericht dat de financiële buffer van organisaties voldoende is om de risico’s van hun activiteiten te beheren. Het probleem hierbij is echter dat sommige organisaties ICT-richtlijnen hebben, terwijl andere dat niet hebben. Zonder een uniforme set beveiligingsnormen of regels voor ICT-risicobeheer, is elke EU-lidstaat genoodzaakt om hun eigen vereisten op te stellen. DORA zal de financiële sector veiliger maken en beter in staat zijn om de risico’s in verband met de online systemen en technologische kwetsbaarheden van het bedrijf te beheren door deze vereisten te standaardiseren.

Harmoniseer de regelgeving inzake risicobeheer in één kader

Met DORA kan de EU vertrouwen op een consistent beveiligingskader om ICT-risico’s te beheren, voornamelijk in de financiële dienstensector. Dit zal inconsistenties tussen de verschillende EU-landen met betrekking tot hun normen wegwerken en het nalevingsproces voor financiële instellingen gemakkelijker maken. DORA helpt organisaties meer inzicht te geven in wat ze moeten doen in het geval van een beveiligingsrisico.

De 5 pijlers van naleving van DORA

EU-organisaties die door DORA worden getroffen, moeten vóór 17 januari 2025 voldoen aan de vijf pijlers van naleving.

1. ICT-risicobeheer

ICT-risicobeheer is de basis van DORA, omdat het risico’s detecteert en analyseert die verband houden met het gebruik van technologie door een organisatie. Financiële instellingen moeten een kader voor ICT-risicobeheer volgen met de hulp van cruciale belanghebbenden en leden van het senior management om een sterke communicatie over mogelijke beveiligingsrisico’s tot stand te brengen. ICT-risicobeheer moet een gedetailleerde beschrijving van de juiste tools, documenten en processen hebben om een organisatie te beschermen tegen bedrijfsrisico’s en cyberbedreigingen. Zonder een goed ICT-risicobeheer lopen organisaties meer risico op gegevensinbreuken en andere beveiligingsproblemen die hun bedrijven en reputatie kunnen schaden.

2. Rapportage van ICT-incidenten

Zodra een kader voor ICT-risicobeheer is vastgesteld, moet een organisatie weten hoe ze incidenten kan melden als deze zich voordoen. Met DORA wordt het melden van ICT-incidenten een eenvoudiger proces door deze rapporten te consolideren in een meer gestroomlijnd kanaal. Financiële organisaties moeten binnen één maand na een ernstig ICT-gerelateerd incident een rapport over de oorzaak indienen bij een uniforme EU-hub op basis van de nieuwe EU-meldingsregels. Zodra een organisatie een rapport over de oorzaak heeft ingediend, controleert de EU-hub alle belangrijke ICT-gerelateerde rapporten en verzamelt deze gegevens om vast te stellen of er gemeenschappelijke beveiligingskwetsbaarheden zijn van de financiële instellingen.

3. Het testen van Digital Operational Resilience (digitale veerkracht van het bedrijf)

Sommige financiële instellingen schakelen momenteel onafhankelijke partijen in om regelmatig de digitale veerkracht van het bedrijf te testen, waarbij hun methodologieën, procedures, tools en herstelsystemen worden getest ter voorbereiding op ICT-gerelateerde risico’s. Hoewel er kaders bestaan die de digitale veerkracht van bedrijven kunnen testen voor sommige financiële organisaties, zal DORA de testvereisten in de financiële dienstensector verbreden. Dit verhoogt het aantal organisaties waarbij het nodig is om de digitale veerkracht van het bedrijf te testen, waardoor de kosten van het inhuren van onafhankelijke partijen worden beperkt en er minder kans is dat organisaties worden getroffen door cyberaanvallen.

4. Delen van gegevens en informatie

Nadat DORA volledig is geïmplementeerd, moeten organisaties gegevens over cyberbedreigingen delen binnen betrouwbare financiële gemeenschappen. Het belangrijkste doel is om andere organisaties te helpen zich bewust te worden van mogelijke cyberbedreigingen, zodat ze hun eigen oplossingen kunnen ontwikkelen om persoonlijke gegevens te beschermen. Organisaties zullen strategieën beschrijven en delen die ze gebruiken om cyberbedreigingen te bestrijden om de algehele beveiliging van de financiële dienstverleningsgemeenschap te verbeteren.

5. Risicobeheer van derden op het gebied van ICT

Financiële instellingen moeten overeenkomsten hebben met ‘kritische’ ICT-serviceproviders, waarbij onderwerpen als gegevensbescherming en incidentenbeheer worden benadrukt. Wat bepaalde ICT-serviceproviders als ‘kritisch’ kenmerkt, zijn onder andere het bieden van diensten die cruciaal zijn voor de dagelijkse activiteiten van een organisatie. Overeenkomsten met kritieke externe providers zorgen ervoor dat ze hun gelieerde financiële organisaties moeten ondersteunen in het geval van een gegevensinbreuk of een andere cyberaanval. Zodra een overeenkomst bijvoorbeeld wordt ondertekend, moet de externe provider de juiste gegevens delen en het hoogste niveau van beveiligingsnormen handhaven voor de diensten die worden geleverd aan een financiële organisatie die voldoen aan de DORA-wetgeving vanwege hun ‘kritische’ status.

Zo bereidt u zich voor op naleving van DORA

Uw organisatie kan zich op verschillende manieren voorbereiden om aan de vereisten van DORA te voldoen, waaronder het uitvoeren van een DORA-kloofanalyse, het identificeren van kritieke externe providers en het vaststellen van uw huidige reactieplan voor incidenten.

Voer een DORA-kloofanalyse uit

Om alle kwetsbaarheden in ICT-systemen vast te stellen, moet uw organisatie een DORA-kloofanalyse uitvoeren. U kunt uw huidige maatregelen vaststellen door ze te vergelijken met wat DORA vereist, waardoor u beter kunt identificeren op welke gebieden uw organisatie zich kan verbeteren om aan de nieuwe vereisten te voldoen. Op basis van de resultaten van uw DORA-kloofanalyse moet u mogelijk een herstelstappenplan opstellen om eventuele kwetsbaarheden binnen uw organisatie aan te pakken. Als uw kloofanalyse bijvoorbeeld aantoont dat uw organisatie niet deelneemt aan het delen van gegevens, moet u de maatregelen identificeren en een tijdlijn vaststellen om ervoor te zorgen dat uw organisatie voldoet aan de DORA-normen.

Identificeer kritieke externe ICT-providers

Uw organisatie moet vaststellen of u met ‘kritische’ externe ICT-providers werkt door alle kenmerken te identificeren die deze categorisering definiëren. Als u een externe cloudserviceprovider (CSP’s) gebruikt, moet uw beveiligingsteam ervoor zorgen dat deze leveranciers ook voldoen aan de DORA-normen zijn en hier overeenkomsten voor hebben. Het is belangrijk om te identificeren welke van uw externe serviceproviders in de categorie ‘kritisch’ vallen, omdat u mogelijk teams moet instellen en software moet wijzigen om te kunnen voldoen aan de DORA-normen.

Stel uw huidige reactieplan voor incidenten vast

Een reactieplan voor incidenten legt verplichtingen vast en biedt de werknemers van een organisatie procedures die ze moeten volgen als er een gegevensinbreuk of cyberaanval plaatsvindt. Met een vastgesteld reactieplan voor incidenten hoeft uw organisatie niet in paniek te raken als er iets mis gaat, maar is deze in plaats daarvan voorbereid om aanvallen te identificeren, te evalueren, te corrigeren en te voorkomen dat deze opnieuw plaatsvinden. Aangezien uw organisatie al een reactieplan voor incidenten heeft, moet u opnieuw evalueren of uw huidige plan voldoet aan de DORA-normen. Meet uw huidige plan tegen de vereisten van DORA om vast te stellen of uw organisatie specifieke mandaten volgt. Als u uw reactieplan voor incidenten test door een gegevensinbreuk te simuleren en kwetsbaarheden ontdekt, moet u ook uw interne rapportage aanpassen om aan de normen van DORA te voldoen.

Wat gebeurd er als bedrijven niet voldoen aan DORA?

Als een financiële instelling niet voldoet aan DORA, kunnen de autoriteiten boetes opleggen tot 2% van de jaarlijkse wereldwijde omzet van de organisatie. Hoewel de gehele organisatie zal lijden als gevolg van het niet naleven van de DORA-normen, kunnen individuele managers ook een financiële boete ontvangen van maximaal een miljoen euro. Voor ‘kritische’ externe ICT-providers die niet voldoen aan de DORA-normen, kan de boete oplopen tot vijf miljoen euro.

Zo kan KeeperPAM® u helpen om te voldoen aan de DORA-normen

Uw organisatie kan de beveiliging versterken en voldoen aan sommige DORA-nalevingsvereisten door te investeren in een oplossing voor geprivilegieerd toegangsbeheer (PAM) zoals KeeperPAM. Wanneer u KeeperPAM gebruikt, kan uw organisatie werknemers en systemen nauwlettend controleren en beheren die gevoelige gegevens en kritieke accounts verwerken, waardoor fouten of kwetsbaarheden die kunnen leiden tot gegevensinbreuken of cyberaanvallen aanzienlijk worden verminderd. KeeperPAM kan organisaties in de financiële sector helpen om te voldoen aan de DORA-normen door hun aanvalsoppervlak te verminderen, veilige toegang voor geautoriseerde gebruikers te waarborgen en volledige rapportage voor elk privileged account te bereiken.

Vraag vandaag nog een demo van KeeperPAM aan om ervoor te zorgen dat uw organisatie is voorbereid om te voldoen aan de DORA-normen en is beveiligd met het hoogste niveau van bescherming voor uw gevoelige gegevens.