Bereid je voor op DORA: vijf essentiële stappen
De datum dat Europese financiële instellingen zich moeten houden aan de Digital Operational Resilience Act (DORA)nadert snel. Het doel van de verordening is om banken, verzekeringsmaatschappijen en investeringsbedrijven in Europa beter te beschermen en weerbaar te maken tegen de toenemende cyberrisico’s. En de boetes voor niet-naleving zijn fors. Ze kunnen oplopen tot 2% van de totale wereldwijde jaaromzet, afhankelijk van de ernst. Darren Thomson, Field CTO EMEAI bij Commvault, roept organisaties op zich goed voor te bereiden om zware boetes te vermijden. Hij wijst erop dat sinds 2018 al meer dan €4 miljard aan GDPR-boetes is uitgedeeld.
De Autoriteit Persoonsgegevens ontving in 2023 meer dan 25.000 meldingen van een datalek waarbij circa 20 miljoen mensen slachtoffer werden. Dreigingen als datalekken en cyberaanvallen liggen ten grondslag aan DORA. Het is de eerste wetgeving op Europees niveau die een compleet kader invoert voor de digitale operationele weerbaarheid van financiële instellingen in Europa. Hiervoor moeten weerbaarheidsregels ingesteld worden voor 20 verschillende soorten financiële instellingen, evenals voor externe IT-leveranciers. Het wordt een flinke verantwoordelijkheid om ervoor te zorgen dat de juiste maatregelen en procedures beschikbaar zijn om aan de regelgeving te voldoen. Denk alleen al aan de vele belanghebbenden die hierbij betrokken zijn.
De regelgeving richt zich op verschillende gebieden, van IT-risicobeheer en het testen van digitale weerbaarheid tot het delen van informatie en het implementeren van een toezichtkader voor belangrijke externe leveranciers. Indien financiële organisaties en IT-partners niet de juiste controles uitvoeren, zal dit consequenties hebben.
Met een half jaar te gaan voordat financiële instellingen in Europa moeten voldoen aan alle vereisten uit de verordening DORA, is de tijd aangebroken om alle processen gereed te maken. Hier zijn vijf uitgangspunten om rekening mee te houden voordat 17 januari 2025 aanbreekt:
Stel gevarieerde teams samen
De samenwerking met professionals en stakeholders uit afdelingen zoals IT, cybersecurity, compliance, risico en juridische zaken bevordert het ontwikkelen en implementeren van een succesvolle strategie. Betrek ook andere teams zoals marketing, verkoop, HR en klantenservice omdat zij ook kwetsbaar zijn voor cyberdreigingen. Door echt bedrijfsbreed te werk te gaan, kunnen organisaties een compleet en proactief cybersecuritybeleid creëren. Ze kunnen risico’s blootleggen die anders wellicht over het hoofd werden gezien.
Activeer steun vanuit de top
Volgens DORA moeten de raad van bestuur en de hoogste leidinggevenden de nodige kennis hebben om digitale risico's te begrijpen en te beoordelen. Dit betekent dat bedrijven de actieve deelname van senior medewerkers kunnen gebruiken om DORA in de hele organisatie te promoten. Hierdoor wordt de aandacht gevestigd op het belang van dit onderwerp en worden medewerkers op alle niveaus aangemoedigd om hier serieus mee aan de slag te gaan. Door het goede voorbeeld te geven vanuit de top, komen de voorbereidingen voor DORA centraal te staan, in plaats van alleen maar mooie woorden te gebruiken en zo het bedrijf bloot te stellen aan inbreuken en erger.
Beoordeel processen en kwetsbaarheden
Het is belangrijk om in een vroeg stadium te ontdekken waar je huidige beveiliging en cyberweerbaarheid niet voldoen aan de DORA-eisen. Zo kun je deze hiaten op tijd dichten. Kijk vooral goed naar de belangrijkste gebieden van DORA: ICT-risicobeheer en governance, incidentrespons en rapportage, testen van digitale weerbaarheid en risicobeheer van derden. Vraag externe experts om je procedures te controleren en de hiaten en de gevolgen ervan te beoordelen. Geef prioriteit aan kwetsbaarheden die grote verstoringen kunnen veroorzaken.
Stel duidelijke doelen
Duidelijke en haalbare doelen zijn cruciaal voor een goede beveiligings- en weerbaarheidsstrategie. Met de komst van DORA worden deze doelen belangrijker en moeten bedrijven hun voortgang continu evalueren. Tegelijkertijd helpen helder omschreven doelen teams om prioriteiten te stellen en ervoor te zorgen dat elke investering in beveiliging en weerbaarheid vanaf dag één aan DORA voldoen.
Blijf op de hoogte van wetswijzigingen
Net als bij andere wetgeving, zal DORA waarschijnlijk in de loop van de tijd subtiele aanpassingen ondergaan om te voldoen aan de marktvraag en om relevant te blijven in het dynamische ecosysteem dat het moet beschermen. Daarom is het belangrijk dat organisaties een manier vinden om op de hoogte te blijven van deze veranderingen, zodat ze continu aan de regels voldoen. Dit moet samengaan met de tools die gebruikt worden om hiaten en investeringsplannen te analyseren en te prioriteren. Zo zorg je ervoor dat naleving altijd prioriteit heeft en voorkom je onverwachte problemen.
DORA kan de aanpak van cybersecurity en weerbaarheid aanzienlijk verbeteren, en de deur openen naar een wereld waarin digitale beveiliging de aandacht krijgt die het verdient. Hierdoor worden minder bedrijven blootgesteld aan ernstige risico's. Het moge duidelijk zijn dat in 2025 de eerste boetes worden uitgedeeld aan bedrijven die niet aan de wetgeving voldoen. Kom nu in actie en voorkom een boete.
Darren Thomson is Field CTO EMAI bij Commvault