De Digital Operational Resilience Act (DORA) is nieuwe EU-wetgeving gericht op het bereiken van een hoog gemeenschappelijk niveau van digitale operationele veerkracht in de financiële dienstensector in alle lidstaten. De wet heeft een brede geografische reikwijdte en is van toepassing op zowel bedrijven met vestigingen in de EU, als op bedrijven die diensten verlenen aan een financiële instelling die diensten verricht in de EU.
DORA is van toepassing op een breed scala van financiële entiteiten, zoals banken, verzekeraars en beleggingsondernemingen, evenals hun cruciale technologieleveranciers. Hierdoor komen IT-bedrijven voor het eerst onder toezicht van financiële toezichthouders te vallen. De dringende reden voor DORA is duidelijk: de veerkracht tegen cyberaanvallen vergroten in een financiële sector die steeds afhankelijker wordt van digitale technologie. Naarmate de digitale transformatie vordert, worden bedrijven steeds kwetsbaarder bij een ernstige cyberaanval, wat op den duur ook problemen voor het bredere economische ecosysteem met zich meebrengt.
Het is verontrustend dat voor zoveel bedrijven de tijd begint te dringen om aan de wetgeving te voldoen. In een publicatie van de DNB van 31 oktober 2023 geeft de DNB aan dat organisaties nu uit de startblokken moeten komen (1). DORA is in januari 2023 in werking getreden en moet uiterlijk zijn geïmplementeerd vóór 17 januari 2025. Lukt dat niet, dan zijn er aanzienlijke boetes voor niet-naleving. Kritieke IT-dienstverleners die zich niet aan de regels houden, kunnen boetes krijgen tot 1% van de dagelijkse wereldwijde omzet van het bedrijf. Deze boetes kunnen dagelijks worden opgelegd totdat bedrijven compliant zijn. Boetes voor financiële instellingen worden bepaald door de individuele gebieden waarin ze gevestigd zijn en kunnen zelfs nog hoger uitvallen. Door reputatieschade en verlies van vertrouwen bij klanten kan het geheel nog kostbaarder zijn. Voor IT dienstverleners in de financiële sector is het voldoen aan de DORA eisen van vitaal belang ter bescherming van hun marktpositie.
Voorbereiden op DORA
Het bereik van DORA is uitzonderlijk breed en veel bedrijven zullen een aantal overwegingen moeten maken om aan de eisen te voldoen.
Ten eerste beschikken veel bedrijven niet over de capaciteit om cyberincidenten grondig en systematisch te beoordelen en de oorzaak te analyseren. Dit is een probleem, omdat bedrijven onder DORA moeten uitleggen hoe ze de kwetsbaarheid van hun IT-middelen voortdurend monitoren en beheren. Het is niet eenvoudig om de kloof tussen beiden te dichten.
Ten tweede moeten bedrijven aandacht besteden aan risicobeheer. Het risicobeheersysteem in DORA vereist solide en veerkrachtige processen voor het beheer van hun IT-middelen. Maar veel organisaties hebben momenteel geen duidelijk beeld van wat die bedrijfsmiddelen inhouden. De zichtbaarheid op de dataverwerking in hun systemen is in de loop van de tijd afgenomen doordat hun netwerken zijn uitgebreid, complexer zijn geworden, en omdat medewerkers zijn overgestapt op thuiswerken.
DORA introduceert een nieuwe reeks regels met betrekking tot het delen van informatie over bedreigingen en verplicht bedrijven om de Europese toezichthoudende instanties binnen strikte termijnen op de hoogte te stellen van de details van de gemaakte afspraken over het delen van informatie. Ook hier kunnen bedrijven die zich niet aan de regels houden boetes of administratieve maatregelen riskeren.
Tot slot moeten bedrijven een testprogramma implementeren dat de operationele veerkracht van hun IT-systemen aantoont. In sommige gevallen moet het testen worden uitgevoerd door een onafhankelijke partij voor financiële entiteiten. In andere gevallen moeten financiële instellingen hun IT-hulpmiddelen, -systemen en -processen minstens iedere drie jaar geavanceerd testen met dreiging gebaseerde penetratietests (conform TIBER-NL). Dit zal een uitdaging zijn voor veel bedrijven, omdat maar weinig organisaties penetratietestprogramma's hebben die voldoen aan de diepgang en breedte van de tests die door DORA worden vereist. Belangrijk is om kritieke IT-dienstverleners ook te betrekken in de tests.
Gezien het werk dat nodig is om compliant te worden, begint de tijd te dringen. Veel bedrijven zullen herstelwerkzaamheden moeten uitvoeren en overstappen op cyberoplossingen die voldoen aan de vereiste functionaliteit van DORA. Financiële dienstverleners moeten hun externe leveranciers controleren en assurance verkrijgen, aangezien DORA financiële instellingen verplicht ervoor zorgen dat hun hele toeleveringsketen compliant is.
Eerste stappen voor bedrijven
Bedrijven moeten beginnen met het uitvoeren van een uitgebreide gap-analyse die gebieden identificeert die verdere investeringen en ontwikkeling vereisen. Aangezien DORA verstrekkend en zeer prescriptief is, ligt de grootste uitdaging in het bepalen van de benodigde wijzigingen en de daadwerkelijke verantwoording over de effectiviteit van de getroffen maatregelen. Financiële bedrijven moeten ook beginnen met het opstellen van een gedetailleerd register met informatie over hun IT-gerelateerde derde partijen die vereist zijn door DORA. Dit kan worden gebruikt om gebieden van niet-naleving binnen de toeleveringsketen te identificeren, zodat beslissingen kunnen worden genomen over wat er vervolgens moet gebeuren. Daarnaast worden de komende maanden diverse nadere technische standaarden vastgesteld die in detail beschrijven welke maatregelen te treffen ten aanzien van cybersecurity.
Met nog maar iets meer dan een jaar te gaan, is nu de tijd om in actie te komen.
(1) DORA; tijd om uit de startblokken te komen (dnb.nl)
Meer weten over DORA?
Wilt u meer weten over DORA en hoe u zich hierop het beste kan voorbereiden? Neem dan contact op met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99 of met Jeffrey de Bruijn per e-mail of per telefoon +31 (0)88 277 11 27. Zij helpen u graag verder.