DORA: de nieuwe standaard voor cyberweerbaarheid in de financiële sector

Wat is de DORA?

In aanvulling op bestaande wetgeving zoals de AVG en de NIS2 is de DORA ontworpen om de digitale operationele veerkracht van de Europese financiële sector te versterken. Met de stijgende afhankelijkheid van digitale technologieën en de toename van cyberdreigingen, zoals hacks en DDoS-aanvallen, biedt deze wetgeving een uniform kader voor risicobeheer, incidentrapportage en veerkrachtige IT-systemen.

De DORA geldt voor een breed scala aan financiële entiteiten, waaronder banken, verzekeraars, betaalinstellingen, aanbieders van cryptodiensten maar ook ICT-dienstverleners die aan deze sectoren verbonden zijn. De wetgeving harmoniseert de aanpak van ICT-risico’s en legt de lat hoog voor beveiligingsstandaarden in de sector.

Waarom is de DORA belangrijk?

De financiële sector was in 2022 het op een na grootste doelwit van cybercriminelen. Incidenten zoals de hack van de Deense Centrale Bank en de DDoS-aanval op SberBank illustreren hoe kwetsbaar het systeem is en hoeveel schade een enkele aanval kan aanrichten. Zonder uniforme beveiligingsstandaarden blijven financiële instellingen kwetsbaar, met potentiële verstoringen en mogelijk aanzienlijke economische schade tot gevolg.

De DORA biedt hier een oplossing voor door duidelijke eisen te stellen op het gebied van ICT-risicobeheer, incidentdetectie en -rapportage en het testen van digitale veerkracht. Dit draagt bij aan de beveiliging van individuele financiële instellingen en organisaties, maar ook aan het vertrouwen in de sector als geheel.

De DORA onderwerpen

De DORA is onderverdeeld in verschillende hoofdthema’s, die zijn ontworpen om organisaties te ondersteunen bij het verbeteren van hun cyberbeveiligingssystemen en het beperken van operationele risico’s. Twee van deze hoofdthema’s worden hieronder toegelicht.

ICT-risicobeheer

Een van de belangrijkste thema’s van de DORA is het beheer van ICT-risico’s binnen de organisatie. Financiële instellingen zijn verplicht een uitgebreid ICT-risicobeheerkader te implementeren dat voldoet aan internationale standaarden. Dit kader moet strategieën, protocollen en beleid bevatten voor het identificeren, mitigeren en beheren van risico’s. Dit helpt instellingen om snel en adequaat te kunnen reageren op cyberincidenten. Daarvoor is onder andere ook essentieel dat medewerkers in cybersecurity zijn getraind.

Testen van digitale veerkracht

Een ander belangrijk thema van de DORA is het testen van de digitale operationele weerbaarheid. Instellingen zijn verplicht om jaarlijks uitgebreid hun IT-systemen te testen. Deze tests, gericht op het beoordelen van de veerkracht tegen cyberdreigingen, moeten onder meer scenario-oefeningen, kwetsbaarheidsanalyses, prestatietests en dreigingsgerichte penetratietests omvatten. Het doel van deze tests is om niet alleen de huidige beveiliging van systemen te controleren, maar ook om potentiële zwakke punten tijdig te identificeren en aan te pakken. Hiermee wordt gewaarborgd dat financiële instellingen adequaat zijn voorbereid op complexe en steeds veranderende cyberdreigingen.

Wat betekent dit voor financiële instellingen?

Hoewel de implementatieperiode twee jaar geleden begon, is vandaag het moment van de waarheid. Financiële instellingen moeten vanaf nu voldoen aan de DORA. Instellingen die nog niet volledig compliant zijn moeten dus snel handelen. Niet voldoen aan de DORA kan leiden tot forse boetes en reputatieschade. Dit is het moment om eventuele lacunes in risicobeheersing en IT-beveiliging te identificeren en te dichten. Voor veel organisaties betekent dit het uitvoeren van audits, het verbeteren van interne processen en het trainen van personeel in cybersecurity. Ook het opstellen van heldere afspraken met ICT-dienstverleners is van groot belang.