De 5 belangrijkste vragen van DORA beantwoord

Geschreven door Jos Nijmeijer
8 min leestijd
14-aug-2023 10:43:59

DORA (Digital Operational Resilience Act) is recent als wetgeving aangenomen in het Europese Parlement. Op 17 januari 2025 treedt deze nieuwe wet in effect. Vanaf dat moment moeten alle financiële organisaties aan deze wet voldoen. Wat betekent deze wet voor jouw organisatie? Welke acties moet je nu al ondernemen en waar start je? Dat legt cyberspecialist Jos Nijmeijer uit in deze blog, speciaal geschreven voor financiële organisaties. In deze blog vind je antwoord op de volgende vragen:

Waarom is DORA aangenomen? 

Het doel van de DORA is het verhogen van de cyberweerbaarheid onder financiële organisaties. Vanwege de hoge cyberdreiging is het belangrijk dat financiële sector investeert in cybervolwassenheid. Het is niet de vraag óf je organisatie geraakt wordt, maar wanneer. De Europese Unie wil met DORA structuur brengen in de grote hoeveelheid regels en frameworks die er bestaan, en ook wil de EU zorgen voor harmonisering tussen de lidstaten en het moderniseren van de regels. DORA brengt dit samen in één framework.  

Whitepaper: cybersecurity als onderdeel van de basis. 

Wat is de inhoud van DORA? 

De EU wil met DORA een hoger niveau van cybervolwassenheid bereiken door het invoeren van drie belangrijke maatregelen: 

1. Een geharmoniseerd framework 

Dit framework van DORA moet het eenvoudiger maken voor organisaties om aan de cyber-regelgeving te voldoen. Jos: “Hoe meer regels, hoe moeilijker het wordt om eraan te voldoen. Organisaties moeten rekening houden met een mix van technische, organisatorische en juridische disciplines. Dankzij de harmonisatieslag ontstaat één strakke set met regels vanuit de EU waar je aan moet voldoen. 

Daarnaast zou DORA cyberkosten moeten verlagen. Jos gelooft dat zelf niet. “Het wordt er niet persé goedkoper op. Je moet in de praktijk heel veel dingen uitvoeren. Wel haal je dubbele zaken eruit zoals rapportages. Maar onder de streep kom je niet goedkoper uit. 

Deze maatregel betekent dat organisaties afscheid moeten nemen van de zaken die ze zelf ingeregeld hebben. Wel wordt hun leven er makkelijker op omdat ze nu een duidelijke set aan richtlijnen hebben.”  

2. Verantwoordelijkheid van het hoogste organisatieniveau 

Een grote verandering is dat de verantwoordelijkheid voor cyber- en digitale risico’s bij het hoogste bestuursniveau van de organisatie terechtkomt. 

Jos: “Dit betekent dat security-verantwoordelijken, zoals CISO's of CIO’s, moeten rapporteren over risico’s en incidenten op bestuursniveau. Nu wordt 'cybersecurity en ict-risico' vaak nog gezien als een ict- of technisch probleem. Helaas heeft de praktijk wel aangetoond dat een onvolwassenheid van organisaties op het gebied van cyber- en ict strategische risico’s met zich meebrengt.” 

Daarnaast komt er een verzwaarde meldplicht. Jos legt uit: “Doet zich een groot incident voor? Dan speelt het bestuursniveau een belangrijke rol bij de melding en opvolging van zo’n incident. Definitie en schaalgrootte van deze incidenten worden ook opnieuw geëvalueerd. De verwachting is dat organisaties meer incidenten melden. Zo wordt het zicht op de frequentie van aanvallen en de impact van ict en cyberrisico’s beter. Doordat een bestuur nauw betrokken wordt bij het proces, kan het bestuur deze risico’s ook beter beheersen.”  

Volgens Jos betekent dit een aanzienlijke verandering voor financiële bedrijven. “Het bestuur wordt actief betrokken bij een cyberaanval. Dat is nieuw. Dit is een positieve verandering, want eerder lag de verantwoordelijkheid veel lager in de organisatie. Hiermee hoopt de EU met DORA te bereiken dat cybersecurity nog meer zichtbaarheid, draagvlak en vooral prioriteit krijgt binnen organisaties.” 

Wel ziet Jos nog wat ‘uitdagingen’. Wat gaat een CISO rapporteren aan het bestuur? Jos: “Het is de verantwoordelijkheid van de CISO om uit te leggen aan het bestuur wat een cyberrisico is, hoe ze in control zijn en wat de KPI’s zijn. Wat rapporteer je als CISO aan het bestuur? Hoe leg je bijvoorbeeld uit dat er ergens ver weg bij je leverancier nog een deurtje op een kier openstaat? Dat is de uitdaging en daar liggen nog geen standaarden voor klaar.” 

Toch is Jos veelal positief over deze maatregel: “Er ontstaat straks een gesprek tussen de directie en de CISO. Op die manier gaat cyber zich echt binnen de organisatie ontwikkelen. Ook verwacht ik dat het gesprek verandert. Waar het nu een sterk techniekgedreven onderwerp is, wordt straks veel meer gekeken naar de impact op de business en de negatieve gevolgen ervan. Dit betekent dat organisaties meer middelen beschikbaar kunnen maken, om de risico’s te beheren die voor het bestuur ongrijpbaar zijn.” 

3. De deelname van toeleveranciers 

Een belangrijk kernpunt van DORA is de weerbaarheid (resilience) van organisaties. Het komt steeds vaker voor dat cyberaanvallen worden uitgevoerd via toeleveranciers, bijvoorbeeld via hun software. Voor cybercriminelen die via één aanval een hele keten van organisaties bereiken, is dit een efficiënte manier van aanvallen.  

Deze regel zorgt voor de nodige veranderingen. Jos: “Als je als toeleverancier nu nog werkt met een beperkte set aan regels, dan zal je financiële klant je confronteren met de veel strengere regels uit DORA. Voor de financiële klant maakt DORA cybersecurity een stuk makkelijker, maar voor een toeleverancier zorgt dit voor een grote verandering, en kost het veel tijd en energie.

Omdat DORA een geharmoniseerd framework is, brengt dit ook weer voordelen met zich mee. Een partij die meerdere klanten uit de financiële sector bedient weet daarom precies wat al deze klanten nodig hebben en kan zich gaan voorbereiden. Uiteindelijk ligt er één set aan maatregelen die moet voldoen voor de hele sector.” 

Wat kunnen organisaties nu al doen om zich voor te bereiden op DORA? 

Het tempo van de invoering is al bepaald, maar pas begin 2024 worden de meer technische maatregelen op nationaal niveau vastgesteld. Dit betekent dat er maar één jaar de tijd is om deze maatregelen te begrijpen en door te voeren in de afspraken met klanten. Volgens Jos moeten financiële organisaties daarom zo snel mogelijk aan de slag. 

“Mijn advies is om meteen het gesprek aan te gaan met je leveranciers. Dan kun je nog contracten aanpassen en eventuele overstappen overwegen. Het is een complex verhaal, want als financiële organisatie heb je vaak te maken met een flink aantal lopende contracten bij je leveranciers. En ook je leveranciers gaan voorwaarden stellen. Stap dus tijdig naar je leveranciers toe en ga nu alvast het gesprek aan, bijvoorbeeld met een wederzijdse intentieverklaring."   

“Ga zo snel je kan het gesprek aan met je leveranciers.”  - Jos Nijmeijer | cyberexpert bij OGD 

  

Wat verandert er inhoudelijk voor mijn organisatie? 

Ook al weten we de technische maatregelen voor DORA nog niet, je kunt alvast aan de slag met DNB good practices. Dit is een goede leidraad voor DORA, want veel van wat in DORA staat komt overeen met de DNB good practices. Denk aan risico-frameworks, rapportageverplichting, contractsturing, sommige technische maatregelen en pen-testing.  

Blog: 10 securitymaatregelen die iedere werkplek moet hebben. 

Verder zijn een aantal belangrijke veranderingen al wel bekend: 

Threat based testing 

Een grote inhoudelijke verandering is het ‘threat based testing’. Threat based testing is een manier van testen die gebaseerd is op de waarschijnlijkheid van het risico.

Jos legt uit: “Op dit moment is het een aanbeveling om een penetratietest te doen, hiermee wordt het een jaarlijkse verplichting die niet per se is gekoppeld aan de werkelijke risico’s. Onder de noemer van 'threat based testing’ moet je verschillende dingen helder maken. Wat is de afweging binnen jouw speelveld op basis van dreiging en risico? Vooraf maak je de inschatting over wat je wel en niet gaat testen. Het is niet voldoende om alleen de pentest in te zetten. Je moet eerst een risico-afweging maken en vervolgens de pentest gericht uitvoeren. 

Als wij nu aan een organisatie vragen wat het grootste risico is waar zij wakker van liggen, dan krijgen we nog vaak verschillende antwoorden afhankelijk van aan wie je het vraagt. De ict-manager ligt wakker van ransomware, maar het bestuur maakt hele andere afwegingen. Daarom moeten dergelijke tests ook anders worden ingestoken. Want misschien hebben ze allebei wel gelijk!” 

Resilience wordt cruciaal 

Het beschermen van je data is cruciaal maar ook de resilience-kant wordt een belangrijk onderdeel van DORA. Jos legt het als volgt uit: “Je kunt wel alle energie stoppen in het maken van sloten voor je ramen en deuren, maar criminelen vinden hoe dan ook een manier om je huis binnen te dringen. Daarom is het ook belangrijk dat je je richt op het herstel na een cyberaanval.”

Jos noemt een aantal mogelijkheden om de schade te beperken: “Denk niet alleen aan technische maatregelen zoals encryptie, back-ups en incident response teams. Maar op organisatieniveau moet je maatregelen nemen, bijvoorbeeld een verzekering afsluiten of een reservepotje achter de hand houden om het schaderisico te dragen. Ook dat is onderdeel van DORA.”  

Business continuity test 

´Recover´ wordt een belangrijk onderdeel van DORA. Dankzij een business continuity test ontdek je hoe groot het risico van een cyberaanval is op een bepaald gebied. En wat je eraan kunt doen om weer zo snel mogelijk aan het werk te zijn door de schade zoveel mogelijk te beperken. Kun je bijvoorbeeld het geïnfecteerde deel omzeilen, zodat je gewoon nog door kunt werken? Wat is er precies geraakt en hoe erg is het?  

Dit is een cruciaal onderdeel volgens Jos, maar ook hij is zich ervan bewust dat organisaties er niet in door moeten slaan. “Het is lastig om je hele systeem plat te gooien, maar dit is wel precies wat er gebeurt bij een échte aanval. Dan ben je al je bestanden tijdelijk kwijt en kun je ook een aantal dagen niet aan het werk. Je wilt niet dat zo’n test je net zoveel verspilde tijd en geld kost als een daadwerkelijke aanval.” 

Wel is het noodzakelijk om voorbereid te zijn en dergelijke tests uit te voeren. Dit betekent dat de je de samenhang en de impact van zo’n aanval grondig moet analyseren. Vervolgens werk je deze uit in concrete en tastbare plannen.  

Daarnaast kun je bijvoorbeeld een gedeelte testen of een ´tabletop exercise´ uitvoeren. Zo doe je ervaring op over hoe de leiding van het bedrijf reageert in zo n situatie. Vergeet niet: bij een échte cyberaanval kun je ook de Word-documenten met het calamiteitenplan en de netwerktekening digitaal niet inzien.

Begin dus eerst met dit praktisch voor te bereiden en te ontdekken waar je vastloopt. Dan kun je besluiten nemen. Je kunt jezelf vragen stellen als: ’Zijn we bereid om criminelen te betalen om onze data terug te krijgen tijdens chantage? Of overtreden we dan de wet? Dit zijn reële vragen waar je je op kunt voorbereiden bij een business continuity test.”  

Cyberhygiëne altijd op orde 

DORA heeft een aantal ingewikkelde inhoudelijke veranderingen zoals threat based testing. “Maar het overgrote gedeelte van de maatregelen zijn hygiënemaatregelen, zegt Jos. “Over het algemeen kosten deze basis-maatregelen je organisatie niet veel, maar ze zijn cruciaal om ellende te voorkomen of te beperken. Zo bleek laatst ook weer uit een rapport van Microsoft dat 98% van de cyber-aanvallen voorkomen kan worden door basale maatregelen als MFA, zero trust en antimalware.”  

Lees deze blog voor meer informatie over hoe basismaatregelen je cybersecurity versterken.   

Hoe te starten? 

Het belangrijkste is dat je: 

  • Met je ketenpartners spreekt om tot een overeenstemming te komen.  
  • De technische maatregelen zo snel mogelijk opvolgt. In de tussentijd pak je de best practices van de DNB als leidraad. Cyberhygiëne is hiervan een belangrijk onderdeel.  
  • Een derde partij inschakelt bij het uitvoeren van een pentest. Dit staat altijd beter richting de toezichthouder. 
  • Beter inzicht krijgt in de mate van weerbaarheid en kwetsbaarheid. Dat doe je door te oefenen met een gesimuleerde aanval en het gesprek aan te gaan over de grootste risico’s. Op basis daarvan organiseer je een passende pentest en onderzoek je wat de reële bedreigingen zijn.   

Aan de slag met DORA! 

Als je bovenstaande stappen uitvoert en snel acteert op wat komen gaat, ben je goed voorbereid op DORA. Het is daarna belangrijk om goed in de gaten te houden wanneer de technische maatregelen beschikbaar zijn.

Wil je hulp van een onafhankelijke derde partij die je helpt met het bepalen van je cyber-roadmap en het inschatten van de cyberrisico´s voor je organisatie? OGD voert een cyberrisk-assessment uit. Hiermee helpen we jouw organisatie inzichten te verkrijgen en prioriteiten te stellen bij de grootste cyberrisico’s. Ook hoor je welke risico-maatregelen je het beste kunt nemen. OGD helpt je organisatie bij het maken van de vertaling van risico naar bedrijfsproces naar systeem. Hiermee heeft de directie van jouw organisatie scherp wat er moet gebeuren en waar je op kunt sturen.  

Cybersecurity CTA BLOG

 

Ontvang email updates