Expert: “DORA stelt hoge eisen aan beveiliging van ICT. Dat vergt middelen en mensen”
De financiële dienstverleners staan voor de verdere implementatie en uitrol van de Digital Operational Resilience Act (DORA). Met slechts twee maanden te gaan voordat deze EU-regelgeving van kracht wordt, moeten niet alleen bedrijven in de financiele sector maar ook financiele afdelingen binnen bedrijven handelen om hun organisaties voor te bereiden. Reden voor FM.nl om enkele vragen te stellen aan Jakub Lewandowski, Legal Director/Global Data Governance Officer bij Commvault.
- Bedrijven moeten stappen nemen om DORA-compliant te worden, waaronder risicobeoordeling en versterking van ICT-beveiliging
- Niet-naleving van DORA kan leiden tot sancties variërend van waarschuwingen tot zware boetes en intrekking van licenties
1. FM.nl: Welke sectoren, segmenten en bedrijven vallen onder DORA?
Jakub Lewandowski: “De Digital Operational Resilience Act (DORA) is een regelgeving van de Europese Unie die gericht is op het versterken van de operationele weerbaarheid van digitale systemen in de financiële sector. Deze wetgeving is van toepassing op een breed scala aan financiële instellingen, zoals verzekeringsmaatschappijen, pensioenfondsen, kredietinstellingen, betaalinstellingen, beleggingsondernemingen, aanbieders van crypto-activa en banken, maar ook op externe ICT-leveranciers (IT-dienstverleners). Volgens schattingen zal DORA ongeveer 20.000 financiële instellingen en bijna 15.000 externe ICT-dienstverleners die direct in dienst staan van EU-financiële instellingen, beïnvloeden.”
2. FM.nl: Welke vragen, welke scans, waar moeten bedrijven op letten uitvoeren om hun startsituatie (voordat DORA wordt geïmplementeerd) goed in beeld wordt gebracht?
Jakub Lewandowski: “Met slecht twee maanden te gaan voordat DORA van kracht wordt, zouden organisaties zich op z’n minst op de volgende negen stappen moeten richten:
1) Begrijp de reikwijdte en vereisten van DORA. Zorg dat je volledig inzicht hebt in de vereisten van DORA en de specifieke toepassing ervan op je organisatie.
2) Voer een grondige risicobeoordeling uit: Volgens DORA moeten financiële instellingen alle risico’s in verband met hun ICT-systemen en -diensten identificeren, documenteren en beheren. Een gedetailleerde risicobeoordeling omvat het in kaart brengen van digitale activa, het evalueren van risico’s per activum en het beoordelen van de impact van ICT-verstoringen op bedrijfsactiviteiten. Zorg voor regelmatige updates om nieuwe technologieën, processen en opkomende bedreigingen te reflecteren.
3) Versterk ICT-beveiligingsmaatregelen: DORA stelt hoge eisen aan de beveiliging van ICT-systemen. Organisaties moeten sterke beveiligingsmaatregelen implementeren ter bescherming tegen cyberdreigingen. Dit omvat geavanceerde technologieën voor risicodetectie, bescherming, preventie, respons, herstel en back-ups. DORA biedt richtlijnen voor het stellen van prioriteiten in cybersecurity, maar laat de specifieke maatregelen aan de organisatie zelf over. DORA is zeer onvermurwbaar over het belang van testen. Financiële instellingen moeten regelmatig beveiligingsaudits en penetratietests uitvoeren, en zorgen dat beleid en procedures up-to-date zijn.
4) Ontwikkel een ‘incident response plan’: DORA vereist dat financiële instellingen een effectief incident response plan opstellen en onderhouden. Dit plan beschrijft de stappen die genomen moeten worden bij een ICT-gerelateerd incident en helpt bij het snel en gestructureerd reageren om de impact te beperken. Zorg voor heldere rolverdelingen, communicatiestrategieën en herstelprocedures. Train en test regelmatig met simulatieoefeningen om het team goed voor te bereiden.
5) Versterk de weerbaarheid van kritieke functies: Kritieke functies moeten bestand zijn tegen ICT-verstoringen en ervan kunnen herstellen. Hiervoor moeten systemen en processen worden ontworpen die weerbaar zijn en kunnen blijven werken onder ongunstige omstandigheden. Redundanties moeten worden ingebouwd in kritieke systemen en back-upoplossingen moeten worden geïmplementeerd om de integriteit en beschikbaarheid van gegevens te behouden. Definieer hersteldoelen en test herstelplannen regelmatig om medewerkers goed voor te bereiden.
6) Beheer risico’s van derden: Door de toename van externe dienstverleners is risicobeheer op dit gebied cruciaal. Doe grondig onderzoek bij de selectie van leveranciers, monitor hun prestaties en naleving, en leg duidelijke afspraken vast over gegevensbescherming, incidentrapportage en auditrechten. Zorg voor een noodplan als de leverancier niet aan de verwachtingen voldoet.
7) Implementeer governance en toezicht: DORA vereist effectief governance en toezicht op ICT-risico’s. Stel een governance framework op met duidelijke rolverdelingen en betrek het senior management actief bij het toezicht op digitale operationele weerbaarheid. Zorg voor regelmatige rapportages aan het senior management over risicobeheer, incidenten en naleving.
8) Bereid je voor op rapportage en audits: DORA vereist regelmatige rapportages over digitale operationele weerbaarheid. Zorg voor mechanismen om noodzakelijke gegevens tijdig te verzamelen en rapporten te genereren, inclusief risicomanagement, incidentrapportages en auditbevindingen. Wees voorbereid op externe audits door toezichthouders of onafhankelijke auditors.
9) Bevorder een weerbare cultuur: Een sterke, weerbare cultuur binnen de organisatie is essentieel. Creëer bewustzijn rond digitale operationele weerbaarheid en train medewerkers op hun rol hierin. Een veerkrachtige cultuur stimuleert proactief risicobeheer en voortdurende verbetering van resilience strategieën.
Door deze stappen te volgen, versterken organisaties hun digitale operationele weerbaarheid en beschermen ze zichzelf en hun klanten beter tegen de gevolgen van ICT-verstoringen.”
3. FM.nl: Wat zijn de grootste valkuilen die gemaakt worden wanneer men een plan maakt om compliant te worden aan DORA?
Jakub Lewandowski: “Voldoen aan de Digital Operational Resilience Act (DORA) brengt verschillende uitdagingen met zich mee die organisaties zorgvuldig moeten aanpakken. Veelvoorkomende valkuilen bij het voorbereiden op DORA-compliance zijn:
A. Niet continu testen: DORA vereist regelmatig testen van de digitale operationele weerbaarheid. Financiële instellingen die niet voortdurend testen en monitoring uitvoeren, lopen het risico ICT-risico’s niet tijdig gesignaleerd worden.
B. Risico’s in de supply chain over het hoofd zien: DORA legt nadruk op het beheersen van risico’s bij derden. Financiële instellingen moeten grondig due diligence uitvoeren en hun hele toeleveringsketen continu monitoren. Dit kan betekenen dat extra informatie moet worden verzameld en nieuwe werkwijzen moeten worden ingevoerd.
C. Geen duidelijke en haalbare doelstellingen voor informatiebeveiliging stellen: Het uiteindelijke doel van een ICT-risicomanagementraamwerk is om ICT-risico’s snel, efficiënt en volledig aan te pakken. Beleidsmaatregelen en procedures moeten daarom aansluiten op de oplossingen en tools die de financiële instelling gebruikt. Het is daarom essentieel om te begrijpen hoe een specifieke oplossing of leverancier kan bijdragen aan de compliance-inspanningen van de organisatie.”
4. FM.nl: Wat moeten CFO’s doen om te zorgen dat organisatie DORA proof/compliant wordt?
Jakub Lewandowski: “Voor naleving van DORA is het essentieel dat diverse C-level executives en multidisciplinaire teams worden betrokken. Om de naleving van de Digital Operational Resilience Act (DORA) binnen de organisatie te waarborgen, zouden teams zich moeten richten op de volgende activiteiten:
- Het opstellen en onderhouden van beveiligingsprocedures en -beleid ter ondersteuning van een effectief ICT-risicomanagementproces.
- Identificatie van kritieke informatie-assets om risico’s te beperken en de impact van dataverlies te minimaliseren.
- Vroegtijdige waarschuwing voor verdachte activiteiten, geïntegreerd in het bestaande beveiligingsecosysteem.
- Beveiligd, zero-trust en geïsoleerd cyberresilience-herstelplatform voor elke workload.
- Overdraagbaarheid tussen verschillende workloads, clouds en hypervisors om workloads en gegevens flexibel tussen clouds en datacenters te kunnen verplaatsen.
Organisaties moeten ervoor zorgen dat zij voldoende middelen en capaciteiten inzetten en beschikken over het benodigde personeel.”
5. FM.nl: Welke veranderingen zijn nodig in ICT-governancestructuren en -processen om aan de DORA-normen te voldoen?
Jakub Lewandowski: “Om te voldoen aan de Digital Operational Resilience Act (DORA) moeten organisaties hun ICT-governance-structuren en -processen verbeteren. Belangrijke aanpassingen omvatten:
I. Omvattend ICT-risicomanagement-framework: Ontwikkel en onderhoud een robuust framework om ICT-gerelateerde risico’s te identificeren, te beoordelen en te beperken. Dit houdt regelmatige risicobeoordelingen in en het bijwerken van strategieën om nieuwe bedreigingen aan te pakken.
II. Mechanismen voor incidentrapportage: Stel procedures op voor het snel melden van belangrijke ICT-gerelateerde incidenten aan toezichthouders, zodat er tijdig kan worden gecommuniceerd en gereageerd.
III. Testen van digitale operationele weerbaarheid: Test regelmatig ICT-systemen, beoordeel kwetsbaarheden en voer scenario-gebaseerde oefeningen uit, om de weerbaarheid tegen verstoringen te evalueren en te versterken.
IV: Risicomanagement van derde partijen: Versterk het toezicht op externe ICT-dienstverleners door grondige due diligence uit te voeren, continue monitoring te waarborgen en naleving van weerbaarheidsstandaarden te verzekeren.
V. Informatie-uitwisselingsprotocollen: Bevorder het delen van informatie over cyberdreigingen en kwetsbaarheden tussen financiële instellingen om de gezamenlijke weerbaarheid te verbeteren.
Door deze wijzigingen door te voeren, kunnen organisaties hun ICT-governance afstemmen op de vereisten van DORA, wat hun vermogen versterkt om ICT-gerelateerde verstoringen te weerstaan en te herstellen.”
6. FM.nl: Hoe verbeteren bedrijven processen voor risicobeheer van derden, vooral voor kritieke ICT-dienstverleners, om aan de DORA-normen te voldoen?
Jakub Lewandowski: “Bedrijven zouden hun risicomanagementprocessen voor derde partijen moeten verbeteren, vooral wat betreft kritieke ICT-dienstverleners. Belangrijke stappen zijn:
- Voer een grondige due diligence uit: Beoordeel potentiële ICT-dienstverleners zorgvuldig voordat er een samenwerking wordt aangegaan. Controleer hun beveiligingsmaatregelen, geschiedenis en operationele weerbaarheid om ervoor te zorgen dat ze voldoen aan de strenge DORA-vereisten.
- Implementeer continue monitoring: Zorg voor doorlopend toezicht op de prestaties en naleving van derde partijen. Regelmatige audits en prestatiebeoordelingen helpen om mogelijke risico’s snel te identificeren en aan te pakken.
- Definieer duidelijke contractuele verplichtingen: Neem specifieke voorwaarden op in contracten die naleving van DORA-standaarden vereisen. Dit omvat clausules over gegevensbescherming, incidentrapportage en het recht op audits, zodat providers contractueel gebonden zijn aan het handhaven van de vereiste veerkracht.
- Ontwikkel noodplannen: Bereid strategieën voor om mogelijke verstoringen door derde partijen te beheersen. Dit omvat het identificeren van alternatieve leveranciers en het vaststellen van protocollen om de continuïteit van kritieke ICT-diensten te waarborgen tijdens onverwachte gebeurtenissen.”
7. FM.nl: Welke aanvullende middelen (personeel, technologie, budget) zijn nodig om DORA-nalevingsmaatregelen te implementeren en doorlopende naleving te waarborgen?
Jakub Lewandowski: “Het implementeren en handhaven van naleving van de Digital Operational Resilience Act (DORA) vereist middelen, waaronder personeel, technologie en budget. Een team bestaande uit bijvoorbeeld compliance officers, IT-risicomanagers en cybersecurityspecialisten moet toezicht houden op de naleving van DORA. Met de handhavingsdatum van 17 januari 2025 in zicht en het feit dat veel bedrijven hun budgetten een jaar van tevoren plannen, ontstaat er een uitdaging in de tijdige toewijzing van de benodigde middelen. Volgens onderzoek van McKinsey verwachten de meeste ondervraagde instellingen tussen de 5 en 15 miljoen euro te besteden aan hun DORA-programma’s voor strategie, planning, ontwerp en coördinatie.”
8. FM.nl: Schets het scenario in het geval niet op tijd aan DORA-compliancy wordt voldaan?
Jakub Lewandowski: “Niet-naleving van DORA kan leiden tot sancties, die cruciaal zijn voor het waarborgen van de integriteit en effectiviteit van de wet. De hoogte van deze sancties verschilt per jurisdictie en hangt af van de ernst en aard van de overtreding. Ze zijn bedoeld om af te schrikken en worden afgestemd op de financiële kracht en omvang van de entiteit, evenals op de mate van verstoring door de niet-naleving. Bij kleinere overtredingen kunnen financiële instellingen waarschuwingen of berispingen krijgen. Ernstigere overtredingen kunnen echter leiden tot forse boetes. Bij herhaalde niet-naleving of zeer ernstige overtredingen hebben toezichthouders de bevoegdheid om extra sancties op te leggen, zoals het intrekken van licenties, tijdelijke verboden op bepaalde bedrijfsactiviteiten of andere beperkingen om het financiële systeem te beschermen.”
9. FM.nl: Wat moeten en kunnen autoriteiten en overheid doen?
Jakub Lewandowski: “Het is belangrijk te benadrukken dat ook aan de kant van autoriteiten en toezichthouders veel werk te doen is. Als eerste stap zouden zij zich moeten richten op het geleidelijk afschaffen van verouderde richtlijnen en vereisten van vóór DORA. In de beginperiode na de invoering van DORA zouden autoriteiten en toezichthouders kunnen overwegen om gebruik te maken van “mildere” handhavingsmechanismen en opties. Zoals eerdere wetgeving op het gebied van compliance heeft aangetoond, is er ook veel werk nodig om effectieve samenwerkingsmechanismen tussen verschillende toezichthoudende instanties op te zetten.”
1. Potentiële aansprakelijkheidsrisico’s
Bestuurders van bedrijven die onder DORA vallen, kunnen aansprakelijkheidsrisico’s lopen op de volgende gebieden:
- Governance en toezicht: DORA vereist effectieve governance en toezicht op ICT-risico’s. Bestuurders die geen goede governance-kaders implementeren of niet actief toezicht houden op digitale operationele weerbaarheid, kunnen aansprakelijk worden gesteld.
- Boetes voor niet-naleving: Hoewel specifieke hoofdelijke aansprakelijkheid niet wordt genoemd, kunnen bestuurders worden blootgesteld aan sancties voor niet-naleving van DORA. Deze kunnen variëren van waarschuwingen voor kleine overtredingen tot aanzienlijke boetes voor ernstige schendingen.
- Tekortkomingen in risicobeheer: Bestuurders zijn verantwoordelijk voor het waarborgen van uitgebreid ICT-risicobeheer. Het niet identificeren, beoordelen en beperken van risico’s kan leiden tot aansprakelijkheid als dit resulteert in incidenten of niet-naleving.
Beperken van aansprakelijkheidsrisico’s
Om potentiële aansprakelijkheid te verminderen, moeten bestuurders zich richten op:
- Actieve betrokkenheid: Ervoor zorgen dat het senior management actief betrokken is bij het toezicht op digitale operationele weerbaarheid.
- Toewijzing van middelen: Het verstrekken van voldoende middelen, waaronder personeel, technologie en budget, voor DORA-naleving.
- Continue verbetering: Het bevorderen van een veerkrachtige cultuur en het stimuleren van voortdurende verbetering van weerbaarheidsstrategieën.
- Risicobeheer van derden: Het implementeren van robuuste processen voor het beheren van risico’s die verband houden met kritieke ICT-dienstverleners.
Hoewel de zoekresultaten niet expliciet hoofdelijke aansprakelijkheid voor bestuurders onder DORA vermelden, suggereert de nadruk van de wet op governance, toezicht en naleving dat bestuurders aanzienlijke risico’s kunnen lopen als hun organisaties niet aan de DORA-vereisten voldoen. De mate van deze aansprakelijkheid zou waarschijnlijk afhangen van de specifieke omstandigheden, de rol van de bestuurder en de aard van eventuele niet-naleving of incidenten.