ITDS'er aan het woord
DORA: de booster van digitale weerbaarheid
In 2022 waren 33% van alle cyberaanvallen in Europa gericht op de financiële dienstverlening. Deze aanvallen illustreren de dringende noodzaak van robuuste digitale weerbaarheid. Vooral in de financiële sector, waar het stilvallen van dienstverlening grote gevolgen kan hebben voor het vertrouwen. Digitale veiligheid moet daarom bovenaan de agenda komen te staan. De Digital Operational Resilience Act (DORA) moet hiervoor gaan zorgen.
DORA
Digitale weerbaarheid wordt een steeds belangrijker thema voor organisaties. Dat is ook bij de Europese toezichthouders niet onopgemerkt gebleven. De pandemie heeft gezorgd voor een piek in de digitale innovaties. Een ontwikkeling die zorgde voor een efficiëntieslag en verbetering van processen, maar ook voor meer cybercriminaliteit. Het aanschaffen van een ‘hackpakket’ kost vandaag de dag bijna minder moeite dan het kopen van sigaretten. Als antwoord op deze toenemende zorgen gingen Europese toezichthouders om de tafel om de bestaande regels op het gebied van operationele veerkracht aan te scherpen en strengere eisen toe te voegen.
DORA was het resultaat van deze inspanningen en werd in 2021 aangekondigd. De wetgeving heeft als doel om de beheersbaarheid van IT-risico’s in de financiële sector te verbeteren en daarmee de weerbaarheid van organisaties te vergroten. Maar de wetgeving is niet zomaar een nieuwe set aan regels die je moet volgen om uit de problemen te blijven. Het is een gamechanger die een flinke verbetering vereist van ICT Risk Management en de digitalisering van Europese financiële instellingen opstuwt.
Wake up call
DORA dwingt organisaties om dreigingen eerder te signaleren, processen op orde te brengen en hiermee eventuele impact te verminderen. Financiële dienstverleners zullen met zekerheid profiteren van deze betere digitale weerbaarheid die hieruit voortkomt. Maar de wetgeving is vooral ook een wake up call om cyberveiligheid eens écht bovenaan de agenda te zetten. De technologieën die gebruikt worden om onrechtmatig toegang te verkrijgen ontwikkelen zich snel. Meer dan logisch dat ‘the good guys’ net zo snel of misschien zelfs sneller meebewegen. Alleen zo ben je als organisatie in staat je te bewapenen tegen de impact van cybercriminaliteit.
Uitdagingen
Een mooi streven, maar om te voldoen aan de wet moet er bij veel organisaties eerst nog het een en ander gebeuren voor de gestelde deadline begin 2025. Ondanks de bekendmaking van algemene DORA-richtlijnen meer dan twee jaar geleden, hebben veel financials nog geen actie ondernomen vanwege de onduidelijkheid rond de Regulatory Technical Standards (RTS). Het eerste deel van deze regels is uitgebracht op 17 januari, maar de laatste set wordt pas in de zomer van 2024 verwacht. Dit gebrek aan helderheid zorgt voor uitstelgedrag, wat organisaties uiteindelijk de DORA-deadline kan doen missen, met mogelijke sancties tot gevolg.
DORA vraagt niet alleen om kleine aanpassingen, maar ook om grotere veranderingen, zoals het aanscherpen van digitale vaardigheden, met name bij het bestuur. De verantwoordelijkheid voor DORA-naleving rust niet meer alleen op de ICT-afdeling of CTO, maar op het gehele bestuur van een organisatie. De wet verbreedt ook de scope, waardoor derde partijen onderhevig zijn aan aanpassingen. Dit vereist niet alleen inzicht in eigen uitbestedingen, maar ook in de gehele keten van uitbesteding. Een cyberaanval bij een aangesloten derde partij kan immers gevolgen hebben voor de hele organisatie.
Wachten loont niet in het geval van DORA
DORA streeft ernaar de financiële markt te activeren, maar in de praktijk lijken de meeste organisaties nog niet echt in beweging te komen. Financiële organisaties zijn zich al drie jaar bewust van de noodzaak om hun risicobeheer aan te pakken. In plaats van direct actie te ondernemen, wachten de meesten geduldig op de details van de wetgeving. Onze ervaring leert dat deze details niet het verschil zullen maken. Waar wél het verschil gemaakt kan worden, is door het tempo van de implementatie te versnellen. Wacht niet tot juni, maar begin nu al met de onderdelen die je al kunt implementeren. Er is voldoende expertise beschikbaar, zowel binnen als buiten de organisatie, om de implementatie van DORA op te starten.
