DORA vraagt om versterking van het Digital Resilience Framework van financiële bedrijven
Wees voorbereid en voorkom boetes
De Digital Operational Resilience Act (DORA) van de Europese Unie (EU) zal over iets meer dan een jaar van invloed zijn op alle financiële instellingen in de Europese Unie, inclusief externe ICT-systemen en dienstverleners. Omdat DORA veel voeten in de aarde kan hebben geeft Netapp, het intelligente data-infrastructuurbedrijf, tips om voorbereid te zijn op de naleving van deze wet. En ter versterking van het Digital Resilience Framework van financiële instellingen.
1. Weet wat DORA betekent
In een notendop richt DORA zich op ICT-risicobeheer in de financiële dienstverlening. De wet heeft als doel universele standaarden vast te stellen om de weerbaarheid van het financiële systeem te vereenvoudigen en te versterken. Door hiaten en conflicten tussen bestaande regelgevingen weg te nemen, biedt DORA een gemeenschappelijk kader. Dit maakt het makkelijker voor financiële organisaties om te voldoen aan uniforme standaarden, in tegenstelling tot eerdere regelgeving die vaak was gebaseerd op algemene principes in plaats van specifieke technische standaarden. DORA wordt de belangrijkste referentie op dit gebied en krijgt voorrang op andere regelgevingen zoals NIS (Network and Information Security) of ESA (European Supervisory Authorities) richtlijnen.
2. Weet wat de consequenties zijn van geen naleving
Vanaf 2025 zal niet-naleving van DORA leiden tot aanzienlijke financiële sancties, met boetes die kunnen oplopen tot 1% van de wereldwijde dagelijkse omzet.
3. Wees voorbereid
DORA richt zich op vijf terreinen: 1,ICT-risicobeheer, 2.rapportage van gerelateerde incidenten, 3.testen van de veerkracht van digitale activiteiten, 4. ICT-risico's van derden en 5. informatiedeling. Al deze pijlers raken de gebieden van weerbaarheid en cloud. Hieronder enkele aandachtspunten die belangrijk zijn om mee te nemen in de voorbereiding op DORA. Hoewel het overweldigend kan lijken, is het belangrijk te weten dat voor kleinere bedrijven andere normen zullen gelden.
Cyberweerbaarheid: Voor cyberweerbaarheid wil DORA de dreiging van aanvallen minimaliseren en organisaties vragen hoe ze de beschikbaarheid en rapportage van services kunnen garanderen. Een ander belangrijk aspect is hoe ze voor herstel kunnen zorgen, bijvoorbeeld na cyberaanvallen.
Informatiedeling: Het delen van informatie wordt aangemoedigd - hoewel niet verplicht - en is een belangrijke ontwikkeling voor zowel de sector als de aanbieders. Uitgangspunt hierbij is dat hoe meer informatie er gedeeld wordt, hoe meer het bewustzijn wordt vergroot en bescherming biedt tegen mogelijke en opkomende bedreigingen. Dit vraagt een cultuuromslag omdat de sector gewend is om informatie te delen met toezichthouders, maar minder met concurrenten.
Cloud: Naast cyberweerbaarheid is het risico op het gebied van cloudconcentratie van de sector een belangrijke pijler. Dit is vooral interessant omdat de toezichthouders de cloud accepteren als een effectief platform voor financiële diensten. DORA wil controles instellen om het risico op uitval bij cloudproviders te minimaliseren.
Technische en organisatorische uitvoering: DORA kan niet alleen een ICT-kwestie zijn, want er moeten teams bij worden betrokken om informatie goed te verzamelen en te delen. Hierdoor zal de communicatie zowel intern als extern verbeteren. Dit is noodzakelijk omdat betere samenwerking en overleg tussen teams een succesvolle navigatie door DORA zal ondersteunen. Risico-, beveiligings- en IT-teams moeten allemaal samenwerken.
Interne governance: Investeren in het perfectioneren van de interne governance kan ook helpen. Organisaties die op dit gebied minder ver gevorderd zijn, zullen meer middelen en geld moeten investeren om de bekwaamheid en capaciteit te verwerven om DORA-naleving te bereiken.
Oscar Wijnants, Country Director van NetApp Nederland: “DORA krijgt voorrang op overlappende regelgeving zoals NIS of de ESA-richtlijnen. Voor bedrijven betekent dit dat ze DORA als belangrijkste referentiepunt moeten gebruiken om hiaten in processen te voorkomen voordat deze verordening in 2025 van kracht wordt. Daarna zal de beste manier om weerbaarheid en naleving te garanderen bestaan uit het vinden van een juiste balans tussen het zien van DORA als een technische uitdaging en als een organisatorische uitdaging.”
Meer weten over de vereisten die DORA stelt? Bekijk de speciale Netapp-website of volg in de toekomst een van onze webinars.
Ook interessant
Lees hier: Group-IB strengthens partnership with INTERPOL to enhance global efforts in fighting cybercrime
Lees hier: Genetec lanceert unified SaaS-oplossing voor fysieke security