Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) is een verordening opgesteld door het Europees Parlement en de Raad om de digitale operationele veerkracht van de financiële sector te vergroten. Het heeft tot doel ervoor te zorgen dat financiële entiteiten alle soorten ICT-gerelateerde verstoringen en bedreigingen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen. De verordening pakt de toenemende digitalisering en verwevenheid van financiële diensten aan, waardoor de sector kwetsbaarder wordt voor cyberdreigingen en ICT-verstoringen. Belangrijke aspecten van DORA zijn onder meer:

  • ICT-risicobeheer: Financiële entiteiten moeten uitgebreide raamwerken voor ICT-risicobeheer implementeren om ICT-risico’s aan te pakken en te beperken.
  • Incidentenrapportage: Financiële entiteiten zijn verplicht grote ICT-gerelateerde incidenten te melden aan bevoegde autoriteiten.
  • Digitale operationele veerkrachttesten: Regelmatig testen van ICT-systemen om kwetsbaarheden te identificeren en paraatheid te garanderen.
  • Risicobeheer van derden op het gebied van ICT: Financiële entiteiten moeten de risico’s beheren die verband houden met externe ICT-dienstverleners.
  • Oversight Framework: Opzetten van een toezichtframework voor kritische externe ICT-dienstverleners om ervoor te zorgen dat ze voldoen aan de veerkrachtnormen.
  • Het delen van informatie: Aanmoediging van het delen van informatie tussen financiële entiteiten om de collectieve veerkracht tegen cyberdreigingen te vergroten.

DORA vereisten

  • Bestuur en organisatie:

    • Stel een intern bestuurs- en controlekader op voor ICT-risicobeheer.
    • Definieer rollen en verantwoordelijkheden voor ICT-gerelateerde functies.
    • Wijs een passend budget toe voor de behoeften aan digitale operationele veerkracht.
  • ICT-risicobeheerkader:

    • Ontwikkel en onderhoud een uitgebreid ICT-risicobeheerkader.
    • Documenteer en herzie het kader jaarlijks of na grote incidenten.
    • Wijs verantwoordelijkheid voor ICT-risicobeheer toe aan een controlefunctie.
  • ICT-systemen, -protocollen en -hulpmiddelen:

    • Gebruik en onderhoud bijgewerkte ICT-systemen en -hulpmiddelen.
    • Zorg ervoor dat systemen betrouwbaar, veilig en in staat om piekbelastingen aan te kunnen.
  • Identificatie en classificatie:

    • Identificeer en documenteer alle ICT-ondersteunde bedrijfsfuncties en activa.
    • Voer regelmatig risicobeoordelingen uit en houd inventarissen bij van ICT-activa.
  • Bescherming en preventie:

    • Implementeer ICT-beveiligingsbeleid en -procedures.
    • Zorg voor gegevensbescherming en minimaliseer de risico’s van gegevensverlies of ongeautoriseerde toegang.
  • Detectie:

    • Stel mechanismen in om ICT-anomalieën en -incidenten te detecteren.
    • Test regelmatig detectie mechanismen.
  • Reactie en herstel:

    • Ontwikkel ICT-bedrijfscontinuïteits- en herstelplannen.
    • Test en herzie deze plannen regelmatig.
    • Onderhoud redundante ICT-capaciteiten.
  • Back-up en herstel:

    • Implementeer back-upbeleid en -procedures.
    • Zorg voor veilig en tijdig herstel van gegevens.
  • Leren en evolueren:

    • Voer beoordelingen na incidenten uit en neem geleerde lessen op.
    • Houd technologische ontwikkelingen in de gaten en werk ICT-risicobeheer bij processen.
  • Communicatie:

    • Crisiscommunicatieplannen opstellen voor ICT-gerelateerde incidenten.
    • Intern en extern communicatiebeleid implementeren.
  • Incidenten melden:

    • Grote ICT-gerelateerde incidenten melden bij bevoegde autoriteiten.
    • Cliënten op de hoogte stellen van incidenten die hun financiële belangen raken.
  • Digitale operationele veerkrachttesten:

    • Regelmatig testen van ICT-systemen uitvoeren, inclusief geavanceerde tests zoals threat-led penetration testing (TLPT).
  • ICT-risico van derden Management:

    • Beheer risico’s die verband houden met ICT-dienstverleners van derden.
    • Houd een register bij van alle ICT-dienstverleners van derden.
    • Zorg ervoor dat contractuele afspraken de nodige beveiligings- en veerkrachtbepalingen bevatten.
  • Toezichtkader:

    • Kritieke ICT-dienstverleners van derden staan onder toezicht van aangewezen autoriteiten.
    • Regelmatige beoordelingen en aanbevelingen om naleving van veerkrachtnormen te waarborgen.
  • Informatie delen:

    • Deelnemen aan regelingen voor informatie-uitwisseling om de collectieve veerkracht te vergroten.

Deze vereisten zijn bedoeld om een robuust kader te creëren voor het beheer van ICT-risico’s, zodat financiële entiteiten operationele veerkracht kunnen behouden in het kader van digitale bedreigingen en verstoringen.

Heeft u hulp nodig met de implementatie van DORA ?

Wij kunnen u hierbij helpen.