Een samenvatting van de nieuwe DORA wetgeving
Een korte uitleg van de DORA verordening en wat deze betekent.
8 VRAGEN EN ANTWOORDEN OVER DE DIGITAL DIGITAL OPERATIONAL RESILIENCE ACT
Wat is de nieuwe DORA wetgeving in het kort? Die vraag stellen onze klanten ons steeds vaker. Secura vaak. Experts Anne de Nies en Ben Brücker, werkzaam bij Secura, beantwoorden de meest gestelde vragen over DORA. Begin 2025 moet de financiële sector in Europa klaar zijn voor deze cybersecuritywet.
1. Wat is DORA?
'DORA richt zich op de bescherming van netwerken en informatiesystemen. Het is een Europese verordening waar de hele financiële sector in de EU zich aan moet houden', zegt Anne de Nies. Zij werkt als Group Manager Finance bij Secura en helpt organisaties in de financiële sector met hun digitale beveiliging. 'Het doel van deze wet is om de sector weerbaarder te maken tegen digitale risico's.'
2. VANAF WANNEER GELDT DORA VOOR MIJN ORGANISATIE?
De Nies: 'Vanaf 17 januari 2025 moeten alle Europese financiële instellingen aan DORA voldoen. De details van de regelgeving worden steeds duidelijker. Batch 1 van de Regulatory Technical Standards (RTS) en de Implementing Technical Standards (ITS) zijn op 17 januari 2024 gepubliceerd. Batch 2 van deze standaarden is onder consultatie.' Dit betekent dat u één jaar de tijd hebt om u voor te bereiden op de naleving van de DORA-regelgeving.
3. WAAROM IS DORA INGEVOERD?
‘De financiële wereld is natuurlijk al langer gebonden aan wetten en regels en het bijbehorende toezicht’, zegt De Nies. ‘Maar die richten zich vooral op het financiële aspect, denk aan kredietrisico’s of anti-fraude.'
De cybersecurityeisen ontwikkelen zich nu ook: ‘We hadden al vanaf 2016 de NIS Directive, gericht op het beveiligen van netwerk en informatie systemen. Maar DORA is de eerste Europese norm voor de financiële sector die zegt: je moet al je digitale ICT-risico’s in kaart brengen.’
Dit betekent dat alle financiële partijen aan min of meer dezelfde eisen moeten voldoen. ‘Dus niet alleen de grootbanken, die vaak toch al goed gereguleerd zijn en waar cyber security prioriteit heeft.’
‘Het grootste voordeel van DORA is dat de hele sector uiteindelijk weerbaarder wordt tegen bedreigingen’, vindt De Nies. ‘Ook internationale samenwerking wordt waarschijnlijk makkelijker, omdat je allemaal op dezelfde manier geacht wordt te werken.’
Anne de Nies
Group Manager Finance
Secura
‘The biggest advantage of DORA is that the entire financial sector of the EU will become more resilient to threats.'
4. VOOR WIE GELDT DORA?
DORA gaat niet alleen gelden voor banken en financiële instellingen, maar ook voor kritieke leveranciers aan de financiële sector, legt De Nies uit: ‘Denk aan een bedrijf dat het netwerk beheert van een bank, om een simpel voorbeeld te geven.’
‘Als de bank veilig is, maar de ICT-leverancier niet, dan heb je natuurlijk nog steeds een groot risico. Dus deze leveranciers vallen ook onder DORA.’
Kritieke dienstverleners zullen wel te maken krijgen met iets andere regels dan banken of vermogensbeheerders.
Ben Brücker
Red Teaming Lead
Secura
Het is belangrijk om een test uit te voeren die voldoende diepgang heeft om een nauwkeurig beeld te krijgen van de cyberweerbaarheid van een bedrijf, maar op een manier die de test betaalbaar maakt.
5. WAT BETEKENT DORA VOOR MIJN ORGANISATIE?
‘Voor grote banken en pensioenfondsen die al veel doen aan security zal DORA niet zo spannend zijn’, verwacht De Nies. Zij kunnen een gap-analyse doen: wat doen we al en wat moet er nog gebeuren?
‘Maar de wat kleinere bedrijven staan wel voor een uitdaging. Zij moeten misschien dingen gaan doen die ze nog niet deden.’
De 5 belangrijkste elementen van DORA zijn:
- U moet een ICT Risk Management Framework hebben
- U moet een incident respons proces hebben
- Testen moet vaker en wordt verplicht
- Third party risico's moeten in kaart zijn gebracht, dus de risico’s die uw leveranciers lopen
- Dreigingsinformatie delen wordt verplicht
INCIDENTPROCES UITGEBREID
Het incident response proces wordt uitgebreid, zegt De Nies: ‘Voorheen was dit proces een standaard onderdeel van het risicomanagement framework dat een organisatie al had. Maar DORA gaat een stap verder. Je moet een incident classificeren, en in bepaalde gevallen op de juiste manier melden.’
VAKER EN VERPLICHT TESTEN
De wetgeving betekent ook: meer en verplicht testen, zegt Brücker. ‘Financiële instellingen moeten één keer per drie jaar een Threat-Led Penetration Test, of TLPT, laten uitvoeren. En daarbij kunnen mogelijk ook de IT-dienstverleners worden meegenomen. Testen is op dit moment nog niet verplicht, dus dat is een verandering.’
6. WAT IS DE RELATIE TUSSEN NIS2 EN DORA?
DORA is niet de enige grote cybersecurityrichtlijn die in 2025 van kracht wordt. Ook NIS2 stelt eisen aan de digitale veiligheid van bedrijven en organisaties in Europa.
Hoe verhouden die twee richtlijnen zich tot elkaar? De Nies: ‘Beide gaan over de veiligheid van ICT. Het verschil is dat DORA zich puur op de financiële sector richt en NIS2 op alle kritieke sectoren. Voor de financiële sector zal DORA leidend zijn.’
Een ander verschil is dat NIS2 een richtlijn is die in elke lidstaat tot eigen wetgeving leidt. DORA is een verordening die in elke lidstaat op dezelfde manier geldt.
7. WAAR MOET MIJN ORGANISATIE BEGINNEN MET DORA?
01
STAP 1: BRENG RISICOMANAGEMENT IN KAART
‘Je voorbereiden op DORA begint aan de proceskant’, adviseert De Nies. ‘Het is goed om eerst te kijken of je een ICT Risk Management Framework hebt. Dat is de basis. Er zijn standaard frameworks die je kunt gebruiken als je die nog niet hebt.’
02
STAP 2: DOE EEN GAP ASSESSMENT
Als de organisatie al een framework gebruikt, controleer dan of dat framework elementen mist die in de nieuwe wetgeving nodig zijn, met een gap-analyse. Is security testing al onderdeel van het risicomanagement of niet? En hoe is dat geregeld bij de leveranciers?
03
STAP 3: CHECK HET INCIDENT PROCES
Denk goed na over incident processen. Heeft de organisatie de capaciteit om incidenten goed te melden?
04
STAP 4: ZORG VOOR EEN TESTPLAN
‘Wat ga ik testen? Wanneer ga ik testen? Hoe ga ik aantonen wat ik getest heb? Zorg dat je een testprogramma of testplan hebt voor de komende jaren, en een partij met genoeg capaciteit om je daarbij te helpen’, adviseert De Nies.
Een organisatie die al een volwassen security heeft kan het beste een gap assessment doen om te kijken welke aanvullende maatregelen voor DORA nodig zijn.
8. WAT IS DE GROOTSTE UITDAGING VAN DORA?
Hoewel De Nies en Brücker positief zijn over DORA, voorzien ze ook problemen.
1. VEEL WERK
‘Ben je in je eentje CISO van een organisatie waar cyber security nog niet veel aandacht heeft gehad, dan gaat DORA je veel werk opleveren’, zegt De Nies.
‘Er komt door DORA en NIS2 zoveel werk aan voor de sector, dat er waarschijnlijk niet genoeg mensen zijn om al dit werk uit te voeren binnen de gestelde tijd. Security-mensen zijn schaars, dus dat is de eerste uitdaging.’
2. INCIDENTEN MELDEN
Je wordt verplicht om beveiligingsincidenten te melden. Maar de vraag is: hoe wordt dat gefaciliteerd?’ vraagt De Nies zich af. ‘Wat gebeurt er met die informatie? Het is voor organisaties wel spannend om dit soort incidenten te moeten melden.
3. RISICO’S BIJ DERDE PARTIJEN
Een derde uitdaging aan DORA: controle krijgen over de risico’s bij derde partijen. ‘Wat als je derde partij een kleine IT-leverancier is of een buitenlandse partij waar je niet zoveel controle op hebt? Hoe ga je dat doen? Dat is nog niet duidelijk.’
Uitnodiging
Doe mee aan ons aankomende webinar waar we de laatste Regelgevende Technische Normen (RTS) binnen DORA bespreken. Ontdek op een interactieve, boeiende manier hoe u deze normen in uw organisatie kunt interpreteren en toepassen.
Dit webinar biedt twee essentiële perspectieven: vanuit een technisch perspectief en vanuit een procedureel perspectief.
OVER SECURA
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.