BLOG – De Digital Operational Resilience Act (Dora) zal na het einde van dit jaar van invloed zijn op alle financiële instellingen in de Europese Unie, inclusief externe ict-systemen en dienstverleners. Omdat deze verordening veel voeten in de aarde heeft, is het zaak voorbereid te zijn op de naleving ervan. En ter versterking van het digital resilience framework van financiële instellingen. Drie tips.
- Weet wat Dora betekent
Ten eerste is het belangrijk om te weten wat Dora inhoudt. In een notendop richt Dora zich op ict-risicobeheer in de financiële dienstverlening. De wet heeft als doel universele standaarden vast te stellen om de weerbaarheid van het financiële systeem te vereenvoudigen en te versterken. Door hiaten en conflicten tussen bestaande regelgevingen weg te nemen, biedt Dora een gemeenschappelijk kader. Dit maakt het makkelijker voor financiële organisaties om te voldoen aan uniforme standaarden, in tegenstelling tot eerdere regelgeving die vaak was gebaseerd op algemene principes in plaats van specifieke technische standaarden. Dora wordt de belangrijkste referentie op dit gebied en krijgt voorrang op andere regelgevingen zoals NIS (Network and Information Security) of ESA (European Supervisory Authorities) richtlijnen.
- Weet wat de consequenties zijn
Vanaf 2025 zal niet-naleving van Dora leiden tot aanzienlijke financiële sancties, met boetes die kunnen oplopen toteen procent van de wereldwijde dagelijkse omzet.
- Wees voorbereid
Dora richt zich op vijf terreinen: ict-risicobeheer; rapportage van gerelateerde incidenten; testen van de veerkracht van digitale activiteiten; ict-risico’s van derden; en informatiedeling. Deze pijlers raken de weerbaarheid en cloud.
Aandachtspunten
Hieronder de aandachtspunten die belangrijk zijn om mee te nemen in de voorbereiding op Dora. Hoewel het overweldigend kan lijken, is het belangrijk te weten dat voor kleinere bedrijven andere normen zullen gelden.
- Cyberweerbaarheid
Voor cyberweerbaarheid wil Dora de dreiging van aanvallen minimaliseren en organisaties vragen hoe ze de beschikbaarheid en rapportage van services kunnen garanderen. Een ander belangrijk aspect is hoe ze voor herstel kunnen zorgen, bijvoorbeeld na cyberaanvallen.
- Informatiedeling
Het delen van informatie wordt aangemoedigd – hoewel niet verplicht – en is een belangrijke ontwikkeling voor zowel de sector als de aanbieders. Uitgangspunt hierbij is dat hoe meer informatie er gedeeld wordt, hoe meer het bewustzijn wordt vergroot en bescherming biedt tegen mogelijke en opkomende bedreigingen. Dit vraagt een cultuuromslag omdat de sector gewend is om informatie te delen met toezichthouders, maar minder met concurrenten.
- Cloud
Naast cyberweerbaarheid is het risico op het gebied van cloudconcentratie van de sector een gewichtige pijler. Dit is vooral interessant omdat de toezichthouders de cloud accepteren als een effectief platform voor financiële diensten. Dora wil controles instellen om het risico op uitval bij cloudproviders te minimaliseren.
- Technische en organisatorische uitvoering
Dora kan niet alleen een ict-kwestie zijn, want er moeten teams bij worden betrokken om informatie goed te verzamelen en te delen. Hierdoor zal de communicatie zowel intern als extern verbeteren. Dit is noodzakelijk omdat betere samenwerking en overleg tussen teams een succesvolle navigatie door Dora zal ondersteunen. Risico-, beveiligings- en it-teams moeten allemaal samenwerken.
- Interne governance
Investeren in het perfectioneren van de interne governance kan ook helpen. Organisaties die op dit gebied minder ver gevorderd zijn, zullen meer middelen en geld moeten investeren om de bekwaamheid en capaciteit te verwerven om Dora-naleving te bereiken.
Referentiepunt
Dora krijgt voorrang op overlappende regelgeving zoals NIS of de ESA-richtlijnen. Voor bedrijven betekent dit dat ze Dora als belangrijkste referentiepunt moeten gebruiken om hiaten in processen te voorkomen voordat deze verordening in 2025 van kracht wordt. Daarna zal de beste manier om weerbaarheid en naleving te garanderen bestaan uit het vinden van een juiste balans tussen het zien van Dora als een technische én organisatorische uitdaging.
Oscar Wijnants is country director bij NetApp Nederland
