De Europese Unie (EU) heeft formeel nieuwe regelgeving aangenomen die financiële instellingen en hun kritieke leveranciers aanvullende eisen oplegt op het gebied van cyberbeveiliging en veerkracht. De Digital Operational Resilience Act (Dora) bouwt voort op bestaande institutionele EU-eisen voor het managen van informatie- en communicatierisico's.
Dora is een stap in de goede richting om meer veerkracht op te bouwen binnen het financiële systeem van de EU en de algemene beveiligingshouding te verbeteren om het steeds veranderende cyberdreigingslandschap het hoofd te bieden.
Wat is Dora?
Dora harmoniseert de risico-eisen op het gebied van informatie- en communicatietechnologie (ict) in de hele EU door het creëren van één uniforme aanpak tussen toezichthouders en voor de financiële sector. Dit als reactie op de voortdurende digitale transformatie en de daarbij behorende nieuwe risico’s.
Dora moet leiden tot uniforme eisen voor de beveiliging van netwerk- en informatiesystemen van bijna alle financiële entiteiten die in de EU actief zijn. Inclusief kritieke derde partijen die ict-gerelateerde diensten aan deze entiteiten leveren, zoals cloudplatforms, managed service providers, cybersecuritybedrijven en aanbieders van data-analysediensten.
Voor wie heeft Dora gevolgen?
De verordening zal van toepassing zijn op twintig soorten ‘financiële entiteiten’ in de EU, waaronder banken, verzekeraars, aanbieders van cryptovalutadiensten en beleggingsfirma’s. Daarnaast zullen de toezichthouders die in de EU verantwoordelijk zijn voor het toezicht op de financiële markten kritieke ict-dienstverleners kunnen aanwijzen op basis van criteria zoals duurzaamheid van hun bedrijfsmodel en de potentiële systeemimpact die zij zouden kunnen veroorzaken als er iets misgaat met hun dienstverlening.
Veel bedrijven die voorheen niet onder specifieke ict-regelgeving vielen, vallen nu onder Dora. Dat blijft niet alleen beperkt tot financiële instellingen in de EU. De uitgebreide regelgeving zal gevolgen hebben voor alle financiële instellingen of kritieke providers die toegang moeten hebben tot of actief zijn op de EU-markt.
Wat zijn de vereisten voor bedrijven?
Wanneer Dora van kracht wordt, moeten alle financiële instellingen die op EU-niveau gereguleerd zijn, ervoor zorgen dat zij bestand zijn tegen alle soorten ict-gerelateerde verstoringen en dreigingen. Dit betekent dat op de volgende vijf kerngebieden maatregelen moeten worden genomen:
- Ict-risicobeheer
Financiële instellingen zullen veerkrachtige ict-systemen moeten implementeren en onderhouden en een alles omvattend bedrijfscontinuïteitsbeleid hebben. Zij moeten zich daarmee indekken tegen cyberrisico’s, verslechtering van de dienstverlening, het falen van leveranciers en het concentratierisico (bijvoorbeeld het risico te weinig spreiding afhankelijk te zijn van een grote klant). Ook moeten zij de risico’s vanwege afhankelijkheid van kritieke leveranciers voortdurend monitoren.
- Rapportage van incidenten
Financiële instellingen zullen een beheersproces moeten inrichten om ict-gerelateerde incidenten te monitoren en te registreren voor rapportages aan de bevoegde autoriteiten.
- Ict-risicobeheer voor derden
Financiële instellingen zullen moeten aantonen dat zij over solide controles beschikken met betrekking tot risicobeheer voor derden. Dit betreft:
- Het bepalen van een strategie en bijbehorend beleid, ondertekend door senior stakeholders;
- Het uitvoeren van due diligence en risicobeoordelingen met betrekking tot kritieke leveranciers;
- Het in kaart brengen van kritieke leveranciers en de bedrijfsfuncties die zij ondersteunen.
- Testen van de weerbaarheid
Onderdelen van het framework voor ICT-risicobeheer moeten periodiek worden getest. Eventuele zwakke punten, tekortkomingen of lacunes moeten onmiddellijk worden weggewerkt.
- Informatie-uitwisseling
Conform andere EU-regelgeving bepaalt Dora dat financiële instellingen informatie – bijvoorbeeld over cybersecurityzaken – moeten uitwisselen met toezichthouders en andere financiële instellingen.
Kritieke aanbieders zullen verplicht worden een operationele aanwezigheid in de EU te handhaven als uitvalsbasis voor hun diensten. Ook zij zullen nauwgezet worden beoordeeld door toezichthoudende instanties.
Voorbereiding
Er zijn tien stappen die alle financiële instellingen nu kunnen nemen om de gevolgen van de verordening tot een minimum te beperken.
- Bekijk de vereisten van Dora en bepaal in hoeverre ze relevant zijn voor de organisatie;
- Beoordeel de huidige managementprogramma’s en hun individuele toepasbaarheid op de vijf Dora-vereisten en ga na of hun reikwijdte kan worden uitgebreid om compliance te bereiken;
- Werk met de bestaande risicobeheerprocessen en stakeholders om ervoor te zorgen dat de vereisten van de nieuwe verordening effectief kunnen worden ingepast;
- De Dora-vereisten opnemen in bestaande incident management plannen, processen en beleid om ervoor te zorgen dat ze consistent worden toegepast;
- Breng in kaart hoe en waar kritieke leveranciers de bedrijfsvoering ondersteunen. Overweeg de contractbepalingen voor bestaande leveranciers aan te passen aan de verordening;
- Werk samen met inkoop om ervoor te zorgen dat het toezicht op de prestaties van de leveranciers is afgestemd op het vaststellen van een eventuele verslechtering van de dienstverlening en het concentratierisico binnen de toeleveringsketen;
- Toets of de huidige processen voor het testen van de veerkracht voldoen aan de verordening;
- Evalueer intern bestaande informatie-uitwisselingsprocessen en ga na of ze voldoen aan de Dora-eisen;
- Indien er lacunes worden geconstateerd, beginnen met het opstellen van plannen om de gevolgen van de verordening te beperken;
- Implementeer een ‘resilience by design’-aanpak voor nieuwe oplossingen. Deze moet gericht zijn op zowel preventie als beperken van de impact van verstoringen in de toeleveringsketen.
Hoe voor te bereiden?
Ict-leveranciers die onder het toepassingsgebied van Dora vallen moeten het volgende overwegen:
- Bekijk en begrijp de vereisten van Dora;
- Ga na welke elementen van de verordening van toepassing zijn op de dienstverlening en stel een verantwoordelijkheidsmatrix op;
- Voer stresstests uit om na te gaan of de diensten de vereiste veerkracht bieden, conform de verordening;
- Beoordeel toeleveringsketens om te bepalen of leveranciers onder de verordening vallen en stel een bijbehorende verantwoordelijkheidsmatrix op;
- Voer stresstests uit bij kritieke leveranciers verderop in de keten. Overigens zouden externe ict-dienstverleners die niet als kritiek worden aangemerkt, door hun klanten verplicht kunnen worden om meer zekerheid te bieden.
Nadat Dora van kracht wordt, wat naar verwachting in het eerste kwartaal van 2023 zal gebeuren, is er een implementatieperiode van 24 maanden. De tijdschema’s voor de naleving zullen zeer strak zijn. Stel daarom de voorbereidingen niet uit.
(Auteur Willemijn Rodenburg-Luitse is relation manager government bij Fox-IT.)