Middels de Digital Operations Resilience Act (hierna DORA) wordt getracht financiële entiteiten een uniform kader te bieden voor de beheersing van IT-risico’s en ze zo weerbaarder te maken tegen cyberdreigingen. DORA kan in het verlengde worden gezien van de DNB Good practices (hierna DNB Guidance) voor informatiebeveiliging. Ten opzichte van de bekende 58 vereisten uit de DNB Guidance is DORA veel directiever opgesteld. Er zijn vijf belangrijke kernbegrippen waar de eisen in DORA betrekking op hebben: Derde aanbieders van ICT-diensten, Governance, ICT-risicobeheer en ICT-gerelateerde incidenten. Per kernbegrip wordt zowel een algemene toelichting (level 1) als een meer specifieke uitwerking van de normen gegeven (level 2). De eisen uit DORA komen grotendeels overeen met de vereisten uit de DNB Guidance wat de implementatie van DORA in Nederland ten goede zal komen.
Ondernemingen hebben tot januari 2025 om aan de regelgeving te voldoen, maar gezien het grote belang voor sommige derde aanbieders en de nieuwe complianceverplichtingen, doen ondernemingen er goed aan om zich tijdig en zorgvuldig voor te bereiden op de inwerkingtreding. De onderneming dient hierbij de huidige positie omtrent cyberveiligheid te bepalen en in kaart te brengen welke stappen genomen moeten worden voor januari 2025. Na afstemming met de toezichthouders, mag de onderneming tijdens de implementatie van de gerelateerde beheersingskaders rekening houden met de aard, omvang en complexiteit van de onderneming.
Beheer van ICT-risico van derde aanbieders
De belangrijkste en grootste consequentie van DORA betreft de verplichting van ondernemingen om third party risks expliciet op te nemen in het ICT-risicobeheer en een strategie te ontwikkelen voor (IT)-uitbestedingen. Ondernemingen dienen dus, nog meer dan voorheen, aantoonbaar te maken hoe zij dit risico integraal bewaken. In haar eigen ICT-risicobeheer moet geborgd worden dat ze met voldoende diepgang en op een adequate wijze kunnen acteren bij gesignaleerde ICT-risico’s in de keten. De volledige keten van betrokken derden dient daarom bekend te zijn. Ondernemingen moeten dan ook een register bijhouden van bestaande uitbestedingen en zicht hebben op de afhankelijkheden van- of tussen leveranciers en dienstverleners en tussen processen en systemen.1 Daarnaast dienen ondernemingen te beschikken over voldoende kennis en expertise om risico’s te identificeren en ontvangen signalen en informatie juist te interpreteren.
Governance
DORA is bedoeld om op Europees niveau de bedrijfsstrategieën van financiële entiteiten en de uitvoering van het ICT-risicobeheer goed op elkaar af te stemmen om zo ICT-risico’s grondiger te kunnen aanpakken.2 Ingevolge de accentuering op het Three lines model binnen DORA, dienen de ondernemingen zowel een onafhankelijk controle- als auditfunctie te benoemen. Ondernemingen dienen vervolgens een risicogericht programma te ontwikkelen voor het testen en, waar van toepassing, verhogen van de digitale weerbaarheid.3 De inhoud van dit programma hangt samen met het risicoprofiel van de desbetreffende onderneming.4
ICT-risicobeheer
Binnen DORA wordt een onderscheid gemaakt tussen preventie en reactieve maatregelen.5 Financiële ondernemingen dienen te beschikken over een doeltreffend en prudent risicobeheer om een voor hen zo een hoog mogelijk niveau van digitale operationele weerbaarheid te verkrijgen.6 Het kader voor het ICT-risicobeheer dient solide, alomvattend en goed gedocumenteerd te zijn.7 Voor ondernemingen die nog niet zover waren kan dit inhouden dat alsnog een duidelijke classificatie van cyberrisico’s en een kalender met periodieke evaluatie en testmomenten dient te worden opgesteld. Middels deze controlecyclus en continuerende evaluatie kunnen IT-risico’s gestructureerd en veerkrachtig gedetecteerd en beheerst worden. De afhandeling van gedetecteerde afwijkingen dient effectief en snel te zijn. Vanwege de belangrijke rol van werknemers, dient de onderneming een bewustmakingsprogramma te ontwikkelen op het gebied van IT.8
ICT-gerelateerde incidenten
De onderneming dient een effectief incidentenmanagement te hebben voor het detecteren en afhandelen van ICT-incidenten en cyberdreigingen.9 Dit kan betekenen dat het huidige incidentenbeleid dient te worden aangescherpt. Alle ICT-gerelateerde incidenten en significante cyberdreigingen dienen geregistreerd te worden.10 Ernstige ICT-incidenten of cyberdreigingen dienen gemeld te worden aan de toezichthouder.11
Joëlle Sliedrecht werkt bij het Nederlands Compliance Instituut in het team Advies & Detachering.
Ben je benieuwd waar jouw kansen als compliance officer liggen op dit vlak? Schrijf je dan nu in voor het werkcollege Compliance, Cybersecurity en Informatiebeveiliging en leer hoe jij de juiste vragen kunt stellen voor je monitorings- en advieswerkzaamheden.
Kijk hier voor meer informatie.