Digital Operation Resilicience Act (DORA)

Blog Layout

Digital Operation Resilicience Act (DORA)

21 juni 2024

Digital Operation Resilicience Act (DORA)

Auteur: Tim Fitters (IT Risk & Compliance Consultant)

Waarvoor is DORA?

Financiële instellingen beschikken over enorm veel geld en verwerken talloze gevoelige persoonsgegevens, waardoor ze aantrekkelijke doelwitten zijn voor cybercriminelen. Deze criminelen vallen financiële dienstverleners vaak aan met ransomware of proberen fraude te plegen door klanten op te lichten (social engineering, phishing etc.) . De mate waarin de cyberdreigingen toenemen, gaat sneller dan de ontwikkeling van de weerbaarheid tegen deze bedreigingen, wat leidt tot grote(re) risico's. Om dit te voorkomen, zijn er regels en frameworks in het leven geroepen die de digitale weerbaarheid van financiële instellingen zouden moeten verbeteren. DORA is er hier een van en biedt een kader dat ervoor zorgt dat financiële instellingen en hun (kritieke) partners de integriteit, beschikbaarheid en veiligheid (CIA Triangle) van hun systemen kunnen waarborgen.

Wat is de Digital Operational Resilience Act (DORA)?

De Digital Operational Resilience Act (DORA) is een EU-regulering die technische eisen stelt aan financiële entiteiten en ICT-leveranciers op vier gebieden:

ICT-risicomanagement
Incidentenrapportage
Testen van digitale weerbaarheid
Risicobeheer van ketenpartners
Informatie uitwisseling

Definitie van financiële entiteiten en hun ICT-dienstverleners

De DORA heeft betrekking op financiële entiteiten en hun ICT-dienstverleners, maar welke organisaties vallen hier nu precies onder? De definitie van financiële entiteiten worden in de DORA genoemd in artikel 2, paragraaf 1, punten (a) tot en met (t). Nu snap ik dat je dit niet zelf op gaat zoeken. Dus, om een beetje een beeld te schetsen, organisaties waar je bijvoorbeeld aan zou kunnen denken zijn: kredietinstellingen, beleggingsinstellingen, verzekeraars, pensioenfondsen en aanbieders van crowdfundingdiensten. In principe dus bijna elke (grote) financiële dienstverlener...

ICT third-party service providers (dienstverleners) zijn ondernemingen die ICT-diensten aan deze financiële instellingen aanbieden. Dit zijn diensten zoals cloud computing, software, data-analyse en data-opslag. DORA stelt dat ook bedrijven die ICT-diensten leveren aan hun moedermaatschappij of (andere) dochterondernemingen hiervan, die actief zijn in de financiële sector, onder de DORA vallen. Financiële entiteiten die ICT-diensten leveren aan andere financiële entiteiten worden ook beschouwd als kritieke ICT-dienstverleners. Kritieke ICT-diensten zijn bijvoorbeeld ook betalingsdiensten die betalingen verwerken.

Wat betekenen die DORA-pilaren uitgebreid en hoe komen ze terug in een organisatie?

De vijf pijlers van DORA komen op de volgende manieren terug in een organisatie:

1. ICT-risicomanagement

DORA stelt regels voor hoe je ICT-risico's moet aanpakken. De 'board' van een organisatie is uiteindelijk verantwoordelijk voor de ICT. Zij hebben onder andere de taak om (senior) managers te helpen bij het bepalen en uitvoeren van risicomanagement. Voor de informatiebeveiligers onder ons: DORA is een mooie aangelegenheid om informatiebeveiliging weer eens aan te kaarten. Organisaties moeten beleid maken voor risicomanagement, waarbij ze ICT-systemen in kaart brengen, kritieke bedrijfsmiddelen, functies en afhankelijkheden identificeren. Organisaties moeten voortdurend risico's in de gaten houden, bedreigingen opsporen en maatregelen nemen om ze te voorkomen. Bedrijven moeten ook plannen maken om te voorkomen dat hun bedrijf in gevaar komt door cyberproblemen, de zogenaamde incident response plannen en bedrijfscontinuïteitsplannen.

Easier said, than done. Hoe moet ik dit nu opzetten? Risicomanagement opzetten, begint met het documenteren van alle ICT-systemen, haar functies en onderlinge afhankelijkheden. De architectuur in kaart brengen dus. Om te zorgen voor de juiste bescherming en indeling van je architectuur, moet je eerst bepalen welke bedrijfsmiddelen en functies belangrijk zijn voor je bedrijf en periodieke monitoring uitvoeren om nieuwe en bestaande risico's te identificeren en te evalueren. Als je de risico's hebt bepaald, maak dan controls om de systemen te beschermen, en gebruik een gestructureerde aanpak om de risico's op een overzichtelijke en consistente manier te mitigeren. Leg ook de gevolgen van het niet naleven van de controls vast.

Controls zijn dus de maatregelen die ICT-risico's identificeren, voorkomen en beperken, en die beveiligingsinformatie verzamelen en analyseren. Security Information and Event Management (SIEM) software helpt bij het verzamelen en analyseren van beveiligingsinformatie, en Security Orchestration, Automation, and Response (SOAR) tools helpen incidentrespons te automatiseren en te coördineren. Het is overigens belangrijk dat alle systemen regelmatig worden bijgewerkt en geüpdatet om beveiligingsproblemen te voorkomen.

Waarom zou je dit doen? Naast dat je de digitale weerbaarheid van je organisatie wil verbeteren, stelt de RTS (Regulatory Technical Standards) dat financiële entiteiten moeten zorgen voor (technische) beveiliging tegen bijvoorbeeld inbraak en gegevensmisbruik. Dit zijn bijvoorbeeld maatregelen voor logging en netwerkbeveiliging, waarvoor procedures, protocollen en tools moeten worden ontwikkeld, vergeet hierbij niet de maatregelen voor de implementatie van netwerktoegangscontroles en de encryptie van netwerkverbindingen. Nu we het hebben over netwerkverbindingen: ook de beveiliging van gegevens tijdens de overdracht vereist maatregelen om de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid te waarborgen. Zorg daarnaast ook voor beleid voor het veilig uitvoeren van projecten, maar ook voor beleid dat informatiebeveiliging meeneemt bij veranderingen in een systeem.

Financiële entiteiten moeten overigens ook hun risicomanagement jaarlijks evalueren, evenals na ernstige (ICT-gerelateerde) incidenten of op aanwijzing van de toezichthouder. Kleine ondernemingen hoeven deze evaluatie niet jaarlijks uit te voeren, maar wel binnen een voor hen redelijke termijn. Want op verzoek van de toezichthouder moet een evaluatierapport worden overhandigd. Het is trouwens altijd een goed idee om regelmatig je risico's en de daarbij horende maatregelen te evalueren en waar nodig aan te passen.

2. Incidentenrapportage

Het doel van DORA is de rapportage van ICT-gerelateerde incidenten te verbeteren en de meldplicht uit te breiden. Dit houdt in dat organisaties controls moeten opzetten voor het monitoren, beheren, loggen, classificeren en rapporteren van ICT-gerelateerde incidenten.

Daarbij zijn financiële instellingen verplicht om ernstige ICT-gerelateerde incidenten te melden aan de relevante bevoegde autoriteit. Maar wat is dan een ernstig ICT-incident? Een ernstig ICT-incident is een incident dat ernstige gevolgen heeft voor de netwerk- en informatiesystemen die kritieke of belangrijke functies van de financiële instelling ondersteunen. In het geval dat een financiële instelling onder toezicht staat van meerdere nationale autoriteiten, wijzen de lidstaten één autoriteit aan die verantwoordelijk is voor de rapportage. Bijvoorbeeld kredietinstellingen, die als significant zijn geclassificeerd, rapporteren aan de nationale bevoegde autoriteit, die het rapport dan naar de Europese Centrale Bank (ECB) stuurt.

Als je een ernstig ICT-incident hebt, moet je dat ook aan de relevante stakeholders melden. De melding van een ernstig ICT-gerelateerd incident moet ten eerste zo snel mogelijk gebeuren en bestaat uit:

Een eerste kennisgeving
Een tussentijds verslag, wanneer de status van het incident verandert of er nieuwe informatie beschikbaar is, en op verzoek van de bevoegde autoriteit.
Een eindverslag, wanneer de analyse van de oorzaak is afgerond en de impactcijfers beschikbaar zijn.

De Europese toezichthoudende autoriteiten (ETA's) bepalen de precieze inhoud van de rapporten en de uiterste termijnen voor de eerste kennisgeving en de verslagen.

Financiële instellingen kunnen daarnaast ook vrijwillig ernstige cyberdreigingen melden aan de bevoegde autoriteit. De ETA's zullen de criteria die nodig zijn om ernstige cyberdreigingen te identificeren bepalen, dus dit hoeven we (gelukkig) niet zelf te bedenken. De ETA's bepalen tevens ook de inhoud van deze kennisgeving. De bevoegde autoriteit deelt de informatie over gemelde incidenten met andere relevante instanties.

3. Testen van de digitale operationele veerkracht

Financiële instellingen moeten basistests en/of geavanceerde testen (het verschil tussen deze twee testen bespreken we zo meteen) uitvoeren om hun digitale weerbaarheid te beoordelen. DORA of niet; het is sowieso een good practice om regelmatig de systemen testen, om te kijken of ze goed beschermd zijn en om kwetsbaarheden te ontdekken. In het kader van DORA-principe 4 moeten ICT-leveranciers van de organisatie ook deelnemen aan deze tests. Alle financiële instellingen, met uitzondering van kleine ondernemingen, moeten een programma voor het testen van de digitale weerbaarheid opzetten, handhaven en evalueren. Dit programma sluit aan op DORA principe 1. Het testprogramma moet een op risico's gebaseerde aanpak volgen en rekening houden met:

De criteria voor evenredigheid. Dit zijn bijvoorbeeld: bedrijfsomvang, risicoprofiel en schaal, aard en complexiteit van de bedrijfsactiviteiten. Dit staat om precies te zijn beschreven in artikel 4, lid 2 van de verordening.
Het veranderende ICT-landschap.
Risico's waaraan de instelling wordt of kan worden blootgesteld.
Het belang van informatie en diensten.

Net als bij de incidentrapportage bepaalt de Europese Commissie welke eisen er zijn voor de testprogramma's. Het testprogramma moet ook externe audits bevatten, anders krijg je het 'slager die zijn eigen vlees keurt' verhaal en moet natuurlijk ook uiteindelijk worden geëvalueerd en bijgewerkt op basis van de resultaten van deze audits. Hierbij kunnen de auditors van Cyberus je uiteraard helpen! Natuurlijk ook met de andere punten.

Oké weer verder: je moet als organisatie dus testen uitvoeren. In het vorige hoofdstuk heb ik al aangegeven dat we de verschillende soorten testen zouden bespreken, maar ik wil van deze gelegenheid ook gebruikmaken om te zeggen dat het, ondanks dat je onder DORA valt of niet, altijd goed is om je digitale weerbaarheid, met op je organisatie afgestelde testen, te testen. Dat gezegd hebbende de soorten testen met betrekking tot DORA kunnen worden onderverdeeld in basistesten en geavanceerde testen. Basistesten zijn de ‘standaard’ testen waarbij het gaat om het testen en beoordelen van de digitale weerbaarheid van de systemen. Bijvoorbeeld door te testen met scenariogebaseerde testen, zodat je kunt zien hoe goed systemen reageren en eventuele (nadere) kwetsbaarheden te ontdekken.

Geavanceerde testen zijn uitgebreider. Een voorbeeld van een geavanceerde test manier is Threat-Led Penetration Testing (TLPT), die minstens elke drie jaar moet worden uitgevoerd voor kritieke entiteiten. TLPT's zijn uitgebreidere tests waarbij kritieke systemen van een organisatie worden beoordeeld. Deze tests dienen uiteraard door onafhankelijke testers te worden uitgevoerd (want: 'slager keurt eigen vlees' verhaal). In het testprogramma moeten de procedures, beleidsmaatregelen en de te nemen stappen in het geval van een (ICT-gerelateerd) incident worden opgenomen. Technische standaarden voor TLPT's zullen waarschijnlijk in overeenstemming zijn met het TIBER-EU raamwerk.

4. Risicobeheer door derden

DORA legt regels op over hoe risico's bij derde partijen worden gecontroleerd en stelt eisen aan de contracten met en toezicht op ICT-dienstverleners die samenwerken met financiële instellingen. Dit omvat onder andere due diligence en regelmatige beoordeling en monitoring van de prestaties van de leveranciers. DORA verplicht financiële instellingen overigens ook om alle contracten met ICT-dienstverleners te registreren. Deze registers moeten onder andere de naam van de ICT-dienstverlener, het doel van het contract, de start- en einddatum van het contract en een beschrijving van de uitbestede taken bevatten. DORA hamert er op dat financiële instellingen goed opletten bij het kiezen van ICT-dienstverleners en zorgvuldige afspraken maken over prestaties, beveiliging en exitstrategieën. Ook moeten ze continu de prestaties en naleving van leveranciers monitoren door middel van regelmatige audits en rapportages. Het komt erop neer dat organisaties informatiebeveiliging al moeten meenemen bij het kiezen van ICT-dienstverleners en niet pas na het tekenen van het contract, want dan valt er weinig meer te bepalen. Dit is overigens een good practice voor elk bedrijf, ongeacht je 'DORA-plichting' bent of niet.

5. Informatie-uitwisseling

DORA moedigt financiële instellingen aan om samen informatie over (cyber)dreigingen te delen om bedreigingen beter te kunnen beoordelen en te bestrijden. Dit verbetert de samenwerking en maakt de hele sector beter bestand tegen aanvallen. Elke financiële instellingen dient namelijk de vertrouwelijkheid en bescherming van de klant te waarborgen, dus waarom zou je met elkaar concurreren op informatiebeveiliging? Het is beter om met elkaar te concurreren op lage rentes en gunstige tarieven, zodat elke klant meer tevreden wordt of spreek ik nu voor mezelf?

Belangrijke punten bij het uitwisselen van informatie met andere partijen:

Zorg ervoor dat informatie alleen wordt gedeeld in vertrouwensgroepen.
Zorg dat de gedeelde informatie veilig is.
Stel gedragsregels op die de vertrouwelijkheid van bedrijfsinformatie, de bescherming van persoonsgegevens, en de naleving van mededingingsregels waarborgen.

Voorbereiden op DORA

We hebben de principes van DORA besproken en nu komt de belangrijkste vraag: Hoe kun je je als organisatie voorbereiden op DORA?

DORA kan een groot verschil gaan maken voor je organisatie, maar het verbeterd wel de digitale weerbaarheid van je organisatie. Als je je organisatie wilt voorbereiden op de implementatie van DORA in januari 2025, is het belangrijk een grondige analyse uit te voeren van je huidige situatie. Dit kan met een GAP-analyse om te bepalen in hoeverre je al voldoet aan de vereisten van DORA. Bekijk de hiaten tussen je bestaande processen, systemen en de toekomstige vereisten van DORA. Dit vormt de basis voor verdere stappen om compliant te worden. Want hoe kun je iets verbeteren, als je niet weet wat je moet verbeteren? In het kort: breng de 'as-is' situatie en 'to-be' situatie in kaart en beschrijf de stappen die je moet nemen om naar de 'to-be' situatie te gaan.

Een goed Risk Management framework is belangrijk om risico’s efficiënt te beheren. Het Enterprise Risk Management (ERM) framework is hier een handig framework voor. Je kunt natuurlijk ook een ander framework gebruiken. Het is ten slotte de bedoeling dat je de risico's in kaart brengt en vervolgens strategieën, beleid, procedures en tools formuleert om de risico's te beheersen. Het regelmatig evalueren en updaten van dit framework, inclusief onafhankelijke audits, zorgt ervoor dat DORA-richtlijnen blijvend effectief en nageleefd worden. Het Risk Management framework is niet alleen intern, maar ook extern van toepassing. Het vereist dan ook een geïntegreerde aanpak van risico's van derde partijen. Door het opnemen van third party risk en het ontwikkelen van een strategie voor het beheersen ervan, verminder je de potentiële blootstelling aan externe risico's. Het bijhouden van contractuele overeenkomsten en het implementeren van exit strategieën voor kritieke dienstverleners hoort hier ook bij.

Business Continuity Management (BCM) is ook zeer belangrijk, want het speelt een sleutelrol in het waarborgen van de continuïteit van je bedrijfsactiviteiten. Als je goed het ICT-landschap van je organisatie monitort en je systemen regelmatig controleert, kun je tijdig inspelen op veranderingen en reageren op incidenten. Zorg ervoor dat je ICT-systemen goed werken met behulp van beveiligingsmaatregelen, beleid en procedures, en stel een Business Continuity Plan (BCP) op en test deze regelmatig.

Naast alle technische maatregelen, frameworks en beleid. Investeer ook in de ontwikkeling van je personeel door te zorgen voor voldoende capaciteiten en middelen om kwetsbaarheden en ICT-gerelateerde incidenten effectief te beheren. Zoals we weten is het personeel de zwakste schakel in informatiebeveiliging. Door hen 'aware' te maken, zullen we deze zwakke schakel transformeren tot een sterke(re) schakel. Het personeel kan helpen bij het vroegtijdig signaleren van incidenten of andere afwijkende patronen, maar dan moeten ze wel weten waar ze op moeten letten. Het maken van bewustwordingsprogramma's voor medewerkers en regelmatige trainingen helpen om risico's te verminderen, wat vervolgens bijdraagt aan een betere digitale weerbaarheid.

We moeten niet alleen preventieve maatregelen nemen, maar ook een plan maken om incidenten aan te pakken en een programma om de reactieve maatregelen en plannen te testen. Testen en trainen zijn namelijk belangrijk voor het detecteren, afhandelen en voorkomen van risico's en incidenten. By the way, wanneer je deze processen in je werkprocessen integreert, verbetert dit de incidentresponse en daarmee de digitale weerbaarheid van de organisatie. Informatiebeveiliging is namelijk geen aparte ‘business unit’, maar vereist om effectief te zijn een organisatie brede aanpak.

De reden waarom ik dit zeg is omdat, informatiebeveiliging vaak wordt gezien als een IT-feestje, waardoor er tijdens incidenten naar de IT-afdeling wordt gewezen, terwijl de IT-afdeling naar de 'business' wijst omdat de IT-afdeling wel 'eigenaar' is van de (IT) systemen, maar niet van de werkprocessen en data. Vergeet daarom ook het stukje governance niet. Zorg er voor dat binnen de organisatie duidelijke rollen en verantwoordelijkheden zijn gedefinieerd. Bovendien dien je onafhankelijke controles in te richten volgens het Three Lines model om de effectiviteit van de maatregelen te waarborgen. Volg ten slotte de ontwikkelingen rondom DORA op de voet, inclusief de publicaties van RTS en Implementing Technical Standards (ITS). Door dit te doen, kun je tijdig en adequaat reageren op nieuwe vereisten en uitdagingen.

Key take aways!

De Digital Operational Resilience Act (DORA) is dus een wet die de digitale veiligheid van de financiële sector moet verbeteren. De regels van DORA helpen financiële instellingen beter voorbereid te zijn op (toekomstige) cyberdreigingen en incidenten. Dit zal de algehele stabiliteit van het financiële systeem en de bescherming van de belangen van klanten en andere stakeholders vergroten. DORA gaat op 17 januari 2025 in werking. Wacht dus niet te lang en begin vandaag al met de voorbereiding. Een goede voorbereiding op DORA begint met de volgende punten:

Voer een GAP-analyse uit om de huidige situatie te beoordelen en de 'as-is' en 'to-be' situaties in kaart te brengen.
Gebruik een goed Risk Management framework zoals ERM, evalueer en update het regelmatig.
Integreer third-party risk management en ontwikkel strategieën voor het beheersen van externe risico's.
Zorg dat je een Business Continuity Plan (BCP) hebt en test dit regelmatig, controleer ICT-systemen en zorg dat je tijdig op veranderingen en incidenten reageert.
Zorg ervoor dat je medewerkers bewust worden van informatiebeveiliging door ze regelmatig te trainen.
Integreer testen en trainen in werkprocessen om incidenten effectief te detecteren, af te handelen en te voorkomen, en verbeter de incidentresponse door regelmatige oefeningen.
Zorg voor duidelijke rollen en verantwoordelijkheden binnen de organisatie en richt onafhankelijke controle- en auditfuncties in.
Blijf op de hoogte van de laatste updates over DORA om tijdig te reageren op nieuwe problemen.

Gebruikte bronnen: