Dynamische tijden vragen om regulering

Natuurlijk is er, met de toenemende digitalisering en de toename van cyberaanvallen en hackoperaties, al veel aandacht bij organisaties voor cybersecurity. Ook in de financiële sector. Ransomware-aanvallen, DDoS-aanvallen en online fraude maken de afhankelijkheid van digitale systemen en processen pijnlijk zichtbaar. Organisaties treffen cybersecuritymaatregelen om de dreiging hiervan het hoofd te bieden. Wettelijk gezien volstond het tot voor kort om te voldoen aan de eisen van de AVG. In de praktijk blijken de genomen maatregelen vaak niet genoeg te zijn voor het dreigingslandschap waar een organisatie zich in bevindt.

De nieuwe wet- en regelgeving
Om de digitale weerbaarheid in de financiële sector te vergroten en de risico’s van cyberaanvallen te beperken heeft de Europese Commissie de Digital Operational Resilience Act (DORA) geïntroduceerd. De vereisten vanuit de DORA vragen veelal aanvullingen op het huidige cybersecuritybeleid. Het hebben van een firewall, antivirusprogramma en een standaard back-upbeleid zijn niet afdoende. De DORA draagt bij aan verscherpte controle op het aantal cyberaanvallen. Er is aandacht voor de risico’s van uitbesteding aan ketenpartners door organisaties in de financiële sector. Met de invoering van de DORA ligt de verantwoordelijkheid voor het cybersecuritybeleid bij de bestuurders in plaats van bij de IT-afdeling, zoals nu vaak het geval is. Zij kunnen hoofdelijk aansprakelijk worden gesteld en op non-actief worden gezet door, in Nederland, de AFM.

De vereisten vanuit de DORA

De DORA kent vijf pilaren. Vrijwel alle organisaties in de financiële sector moeten vanaf 17 januari 2025 voldoen aan eisen op vier van de vijf pilaren van de DORA. Hieronder volgt een korte toelichting per pilaar. Een uitgebreidere beschrijving vind je in de research paper.

  1. Risicomanagement
    De huidige tekortkomingen, het dreigingslandschap en de cyberrisico’s dienen geanalyseerd te worden. Beleid en procedures moeten worden geformuleerd. Denk aan een nulmeting, een gap-analyse en een risicoanalyse vooraf. Een plan van aanpak voor een cyberaanval dient klaar te liggen. Alle belanghebbenden en hun verantwoordelijkheden moeten in kaart worden gebracht.
  2. Testen en audits
    Periodieke weerbaarheidstesten, minimaal jaarlijks, moeten uitgevoerd worden door een onafhankelijk, intern of extern, team. Bij grote veranderingen zijn extra testen vereist. De uitkomsten van de testen en de audits zijn de basis voor het herschrijven van het securitybeleid.
  3. Ketenpartners
    Het verkleinen van de kwetsbaarheid door cyberaanvallen op de digitale infrastructuur bij ketenpartners krijgt veel aandacht in de DORA. Contractuele afspraken met een ketenpartner moeten gemeld worden bij de AFM. De organisatie blijft zelf verantwoordelijk voor de digitale veiligheid van de data en moet de beveiligingsmaatregelen van de ketenpartners meenemen in de audits en andere controles.
  4. Meldplicht
    Cyberincidenten moeten gemeld worden bij de AFM. Van een eerste kennisgeving tot een eindverslag. Dit draagt bij aan het kunnen acteren, van onder andere de AFM, op cyberdreigingen in de financiële sector en aan het inzicht in de kwetsbaarheden en trends.
  5. Informatie-uitwisseling
    De DORA geeft handvatten voor het veilig en goed gestroomlijnd onderling uitwisselen van informatie. Over bijvoorbeeld cyberdreigingen, effectieve beveiligingsmaatregelen en andere tips voor het vergroten van de digitale weerbaarheid. Het zijn handvatten, het is geen verplichting.
De DORA vereist voor veel organisaties in de financiële sector aanpassingen in het huidige cybersecuritybeleid. Onderschat de impact voor jouw organisatie niet.

Aanbevelingen om jouw organisatie voor te bereiden op de uitdagingen van de DORA

Op basis van onze kennis en ervaring hebben wij zes aanbevelingen geformuleerd om de uitdagingen die de DORA met zich meebrengt het hoofd te bieden. Ze helpen jouw organisatie zich te beschermen tegen digitale bedreigingen en te zorgen voor een robuuste digitale operationele veerkracht.

  1. Start nú met het verkrijgen van een duidelijk beeld van de vereisten vanuit de DORA en neem de eerste stappen om op 17 januari 2025 compliant te zijn aan de DORA.
  2. Gebruik de PDCA-cyclus: vlieg het compliant maken van het cybersecuritybeleid aan de DORA aan als continu verbeterproces.
  3. Review en herzie zo nodig contracten met ketenpartners.
  4. Neem privacyvereisten vanuit de DORA én de AVG mee in het cybersecuritybeleid. Houd rekening met de wisselwerking tussen beide verordeningen.
  5. Organiseer trainingen om het bewustzijn bij medewerkers over cybergevaren en over het cybersecuritybeleid te vergroten. Organiseer daarnaast trainingen om bestuurders de kennis te geven die nodig is om de juiste beslissingen te nemen voor een digitaal veilige en weerbare organisatie.
  6. Stel een crisisplan op om een incident snel en effectief het hoofd te kunnen bieden.

Meer informatie

Lees onze research paper ‘Digitale weerbaarheid in de financiële sector’ voor een uitgebreide uiteenzetting over de vereisten van de DORA. Daarnaast gaan we dieper in op de aanbevelingen om de uitdagingen voor de implementatie van de DORA het hoofd te bieden. Zo kan ook jouw organisatie haar digitale weerbaarheid vergroten.

Houd je je bezig met cybersecurity in de financiële sector en heb je vragen over de implementatie van de DORA? Neem dan contact met ons op voor advies. Wij zijn ook op dit gebied jouw Partner in Compliance.