In januari is het zover, de Digital Operational Resilience Act, oftewel DORA treedt in werking. De nieuwe wet spoort samen met de Cyber Resilience Act (CRA) en de Network and Information Security Directive (‘NIS2’, organisaties in de financiële sector aan meer controle op cybersecurity uit te oefenen. Een goede ontwikkeling, maar zoals het Financieele Dagblad ook aangeeft, ook een uitdaging vooral voor kleinere financiële organisaties die vaak nog worstelen met de eisen die worden gesteld.
DORA vraagt om een meer doordachte aanpak van cybersecurity. Financiële instellingen van formaat zoals grote banken, grote verzekeraars en institutionele beleggers zoals pensioenfondsen zijn al gewend om zowel intern als extern verantwoording af te leggen over beveiligingskwesties. Voor hen betekent DORA waarschijnlijk dat ze vooral hun rapportageprocedures moeten aanpassen. Bovendien zullen deze instellingen, gezien het boetebeding, (nog) meer druk voelen om te voldoen aan de nieuwe wetgevingseisen.
Inhaalslag voor middelgrote en kleinere financiële instellingen
Voor middelgrote en kleinere financiële instellingen heeft het voldoen aan de eisen aanzienlijk meer voeten in aarde. Een belangrijke eis onder DORA is bijvoorbeeld de implementatie van een risicoraamwerk. Iets dat slechts weinig kleinere spelers zullen hebben. Zo’n raamwerk moet duidelijkheid geven over de securityrisico's waaraan de organisatie wordt blootgesteld en welke passende maatregelen worden genomen. In plaats van slechts voorschrijven aan welke specifieke maatregelen moet worden voldaan, leggen de regels de nadruk op een grondige risicoanalyse als eerste stap.
Verder moeten bestuur en management zich actief laten informeren over de veranderende tactieken van cybercriminelen en de specifieke bedreigingen die relevant zijn voor het bedrijf. DORA-plichtige organisaties moeten beschikken over een ‘threat intel feed’ zodat zij op een gestructureerde wijze informatie over de dreigingen ontvangen en erop kunnen anticiperen.
Voor grotere banken en verzekeraars is het vaak vanzelfsprekend om een toegewijd team te hebben voor het verzamelen en analyseren van dreigingsinformatie. Voor kleinere organisaties kan het echter nodig zijn om deze informatie extern in te kopen, waarbij Managed Detection & Response (MDR) dienstverleners een waardevolle rol kunnen spelen door het delen en interpreteren van dreigingsinformatie.
Reageren op incidenten
Een ander belangrijke verandering onder DORA is het moeten hebben van een robuust business continuity plan. Dit plan moet in detail beschrijven hoe het bedrijf zal reageren op incidenten, welke systemen cruciaal zijn voor de bedrijfsvoering, wat de herstelplannen zijn en welke afspraken er zijn met leveranciers over de continuïteit van hun dienstverlening. Cruciaal is dat dit plan regelmatig in de praktijk wordt geoefend, zoals voorgeschreven vanuit DORA. Ook hier geldt dat grotere financials vaak al veel hebben geregeld om hun continuïteit te waarborgen, maar dat dit voor middelgrote en kleinere financials behoorlijk wat extra werk op zal leveren.
Ook vereist DORA dat er effectieve detectiemechanismen ingeregeld zijn binnen de IT-omgevingen van financiële instellingen zodat mogelijke incidenten snel worden gesignaleerd. Veel grotere instellingen beschikken over een eigen Security Operations Center of over een gecontracteerde derde partij, verantwoordelijk voor monitoring, detectie en respons. Voor partijen die nog niet beschikken over eigen of ingehuurde detectiecapaciteit, moet er versneld eigen capaciteit worden ingericht of uitbesteed.
Verder legt DORA strikte eisen op voor security-testen, in het bijzonder aanvalssimulaties. Financiële instellingen moeten deze minstens jaarlijks laten uitvoeren door een onafhankelijk intern of extern team. Elke drie jaar moet bovendien een meer geavanceerde test worden uitgevoerd om aanvallen van meer geavanceerder actoren op een zo’n realistisch mogelijk manier te simuleren. Hiermee kan de effectiviteit van de verdedigingsmechanismen worden getest. Dit type test mag alleen worden uitgevoerd door gecertificeerde teams, die aantoonbaar veel ervaring hebben met realistische aanvalssimulaties. Niet veel organisaties hebben een dergelijk team dus is het ook belangrijk na te denken hoe dit wordt gewaarborgd.
Meer inspanning nodig
Het is duidelijk dat middelgrote en kleinere financials significant meer inspanningen moeten leveren om aan de nieuwe normen vanuit DORA te voldoen. De wetgeving gaat bovendien verder dan de NIS2-richtlijn, met specifieke en uniforme tests, waardoor een grondige en aantoonbare aanpak van cybersecurity noodzakelijk is. Hoewel dit nu de nodige capaciteit en hoofdbrekens vraagt, zal iedereen op langere termijn vooral profiteren van de verbeterde cyberweerbaarheid van financiële organisaties. Het moge duidelijk zijn dat dit de moeite meer dan waard zal zijn.
Kunnen wij ergens mee helpen?
Wil jij meer weten over DORA of andere wetgeving op het gebied van cybersecurity? Of wil je sparren over de maatregelen die jullie bedrijf moet nemen? Neem contact met ons op via info@computest.nl.
