Sinds januari 2023 is er een nieuwe verordening verschenen in de Europese financiële wereld: de Digital Operations Resilience Act, oftewel DORA. Deze verordening heeft tot doel de IT-risico's binnen financiële organisaties beter te beheersen en hen weerbaarder te maken tegen de voortdurende dreiging van cyberaanvallen. Tegelijk met DORA is de richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) gepubliceerd, met vergelijkbare doelen om de weerbaarheid van de EU-infrastructuur te verbeteren. Hoewel financiële instellingen onder beide wetgevingen kunnen vallen, legt DORA specifiekere eisen op. Deze wetgeving is gericht op het handhaven van een robuuste financiële sector, die van vitaal belang is voor ons dagelijks leven en de werking van waardeketens.
De financiële sector wordt steeds afhankelijker van technologie voor zijn dienstverlening, wat de sector kwetsbaar maakt voor onderliggende technologische problemen, met name cyberaanvallen. DORA richt zich op het ondervangen van deze technologische risico's voor verschillende actoren binnen de financiële wereld.
Met DORA worden de volgende drie belangrijke doelen nagestreefd:
- Harmonisatie van regels: DORA beoogt om verschillende regels met betrekking tot digitale weerbaarheid binnen de Europese Unie te stroomlijnen en op elkaar af te stemmen, waardoor er een uniforme aanpak ontstaat.
- Creëren van een basiskader: Voor financiële organisaties waarvoor nog geen specifieke regelgeving bestaat, wil DORA een basisstructuur vaststellen. Dit zorgt voor duidelijkheid en consistentie in de aanpak van digitale risico's.
- Verbetering van risicobeheer bij uitbesteding: DORA heeft als doel om de risico's verbonden aan uitbesteding van cruciale digitale diensten door de financiële sector aan derde partijen beter te beheren en te verminderen.
De wetgeving is opgedeeld in vijf belangrijke aspecten:
- ICT-risicobeheer: Dit omvat het beheer van risico's die voortkomen uit de IT-infrastructuur en -systemen van organisaties. Het gaat erom hoe organisaties deze risico's identificeren, evalueren, beheren en monitoren om potentiële schade te minimaliseren.
- ICT-gerelateerde incidenten: Hier draait het om het vermogen van organisaties om effectief te reageren op incidenten die verband houden met hun ICT-systemen, zoals datalekken, malware-aanvallen of systeemstoringen. Het omvat het snel detecteren, analyseren en oplossen van deze incidenten om de impact ervan te minimaliseren.
- Testen van digitale weerbaarheid: Organisaties moeten regelmatig hun digitale weerbaarheid testen door middel van simulaties, penetratietesten en andere technieken. Deze tests helpen bij het identificeren van zwakke punten in de systemen en processen, zodat ze kunnen worden versterkt voordat echte aanvallen plaatsvinden.
- Beheer van ICT-risico's van derde aanbieders: Dit betreft het toezicht en beheer van de risico's die voortkomen uit de uitbesteding van ICT-diensten aan derde partijen. Het gaat erom ervoor te zorgen dat de derde partijen voldoen aan de vereisten en normen op het gebied van cybersecurity en dat de risico's effectief worden beheerd.
- Informatie-uitwisseling over cyberdreigingen en kwetsbaarheden: Dit omvat het delen van informatie over nieuwe cyberdreigingen, kwetsbaarheden en best practices tussen verschillende organisaties binnen de sector. Door informatie uit te wisselen, kunnen organisaties elkaar waarschuwen voor potentiële dreigingen en gezamenlijk beter voorbereid zijn om deze het hoofd te bieden.
Financiële organisaties hebben tot december 2024 de tijd om aan de vereisten van DORA te voldoen, waarna de regelgeving vanaf januari 2025 volledig geïmplementeerd moet zijn. Naar verwachting zullen de toezichthouders gezamenlijk toezicht houden op de naleving van de verordening, wat zal bijdragen aan het waarborgen van de robuustheid en weerbaarheid van de financiële sector tegen cyberdreigingen.
DORA markeert een belangrijke stap voorwaarts in het versterken van cybersecurity binnen de Europese financiële sector. Door organisaties aan te sporen om hun IT-risico's beter te beheersen en zich weerbaarder te maken tegen cyberdreigingen, draagt DORA bij aan het handhaven van de integriteit en stabiliteit van de kapitaalmarkten. Het is nu aan financiële organisaties om tijdig aan de vereisten van DORA te voldoen en een hoog niveau van digitale veiligheid te waarborgen voor henzelf en hun klanten.
