De trainingseisen van DORA en hoe eraan te voldoen

De nieuwe regelgeving van DORA vereist verschillende soorten training: niet alleen voor werknemers, maar ook voor het hoger management. Welke training vereist DORA precies?

... > Training > De trainingseisen van DORA en hoe eraan te voldoen

Wat zijn de trainingseisen van DORA?

Veel bedrijven in de financiële sector hebben maatregelen getroffen op het gebied van cyberbeveiliging, zegt Eva van Emmerik, Manager Financial Markets bij Secura. 'Maar met de nieuwe DORA-verordening wordt cybersecurity in deze sector nog verder geprofessionaliseerd. Vanaf 17 januari 2025 moeten EU-bedrijven in de financiële sector voldoen aan DORA, de Digital Operational Resilience Act. DORA vereist onder andere een aantal opleidingsmaatregelen.'

Actuele kennis

Een van de vereisten van DORA is dat het bestuur over actuele kennis van cyberbeveiliging moet beschikken, zegt Van Emmerik. 'Maar in feite eist DORA dat al het personeel wordt getraind op het gebied van cyberbewustzijn en operational resilience. Elke training moet relevant zijn voor de rol die iemand binnen het bedrijf speelt. Bedenk dus welk mogelijk risico iemand vormt voor de organisatie en hoe u die persoon kunt trainen om dat risico op de juiste manier aan te pakken als dat nodig is. Vanuit dat perspectief is het ook relevant om na te denken over uw externe IT-providers en hoe u ervoor kunt zorgen dat zij ook de juiste cybersecuritytraining hebben gehad.'

Eva van Emmerik

Eva van Emmerik

Manager Financial Markets

Secura

Zorg dat u weet wat DORA van u vraagt, zodat u voldoende tijd hebt om uw verantwoordelijkheden in kaart te brengen. Als management moet u voldoende begrijpen van cyberbeveiliging om weloverwogen beslissingen te kunnen nemen.

Waarom vereist DORA managementtraining?

Eva van Emmerik: 'DORA stelt in artikel 5 dat het management 'de eindverantwoordelijkheid moet dragen voor het beheer van het ICT-risico van de financiële entiteit.' Dit betekent dat directieleden en hoger management verantwoordelijk worden gehouden voor de cybersecurity van hun organisatie.'

'Natuurlijk hebben veel managers enige kennis van cyberbeveiliging of ervaring met een bewustwordingstraining. Maar behalve de CISO denken de meeste mensen niet dagelijks na over cybersecurity, laat staan dat ze een diepgaand begrip hebben van dit vakgebied dat continu in ontwikkeling is. Om de gevolgen van bepaalde risico's te kunnen overzien, of om bij een cyberincident het hoofd koel te houden en de juiste beslissingen te nemen, moet u weten waar u het over heeft. Daarom stelt DORA expliciet dat het management cyberbeveiligingstrainingen moet volgen.'

Highlight-image

Trainingsvereisten voor bestuur

Artikel 5.4 van DORA: De leden van het leidinggevend orgaan van de financiële entiteit onderhouden actief voldoende kennis en vaardigheden om ICT-risico en de gevolgen daarvan voor de verrichtingen van de financiële entiteit te begrijpen en te beoordelen, onder meer door regelmatig specifieke opleidingen te volgen die in verhouding staan tot het te beheren ICT- risico.

Wie moet een DORA Boardroom Training volgen?

Zorg er in de eerste plaats voor dat de directie en het hoger management van de organisatie aanwezig zijn bij een training, zegt Van Emmerik. 'Maar probeer ook de security officer en IT-manager toe te voegen. Cybersecurity is een gezamenlijke verantwoordelijkheid en op deze manier kan iedereen elkaar ontmoeten en actuele zaken bespreken. DORA gaat ook in op juridische aspecten, dus nodig misschien ook een vertegenwoordiger van de juridische afdeling uit. Deze nauwe relatie tussen cybersecurity en juridische eisen is de reden waarom Secura de krachten heeft gebundeld met De Clercq Advocaten en Notariaat voor onze eigen DORA Boardroom Training.'

Natascha van Duuren De Clercq

Natascha van Duuren

Lawyer and partner

De Clercq Lawyers and Notary

DORA bevat een groot juridisch aspect. Zo vereist het processtappen rond het contracteren en selecteren van de IT-serviceprovider en schrijft het ook een groot aantal inhoudelijke eisen voor aan IT-contracten.

Highlight-image

Trainingsvereisten voor het hele bedrijf

Artikel 13.6: Financiële entiteiten ontwikkelen ICT-bewustmakingsprogramma's en digitale operationele weerbaarheidstrainingen als verplichte modules in in de opleidingsprogramma’s voor het personeel. [Deze] zijn van toepassing op alle werknemers en het hoger leidinggevend personeel en hebben een complexiteitsniveau dat in verhouding staat tot hun takenpakket.

Hoe weet u of u voldoet aan de trainingseisen van DORA?

DORA specificeert niet welke cyberbeveiligingstraining precies voldoet, zegt Van Emmerik. 'Het is aan organisaties zelf om hier invulling aan te geven. Elke werknemer moet getraind zijn op een niveau dat relevant is voor de functie, mensen moeten up-to-date kennis hebben en de organisatie moet kennis bijwerken na een incident. Cybersecurity is een dynamisch vakgebied, dus deze eis betekent dat een eenmalige training niet voldoende is: het is een continu proces.'

Per wanneer moet u voldoen aan de trainingseisen van DORA?

Als DORA op uw organisatie van toepassing is, moet u uiterlijk op 17 januari 2025 aan de eisen voldoen. 'Wacht niet tot dat moment om te beginnen met deze trainingseisen', adviseert Van Emmerik 'Als u honderd mensen moet opleiden en u wacht tot december 2024, haalt u de deadline zeker niet. Geef uw personeel voldoende tijd.'

DORA training

DORA Boardroom Training

DORA Boardroom training

Tijdens onze DORA Boardroom Training geven Secura en De Clercq Advocaten en Notarissen u actuele inzichten over cybersecurity en DORA. Na deze 1-daagse training voldoet u aan de managementopleidingseisen van DORA en ontvangt u een certificaat.

SAFE Awareness

SAFE SECURITY AWARENESS BEHAVIOR PROGRAM Header Entry

SAFE is een uitgebreid bewustwordingsprogramma voor uw hele organisatie.

Cyber Crisis Exercises

Cyber Crisis Exercise

Hoe reageert uw organisatie op een cybercrisis? Test dit met een van onze Cyber Crisis Oefeningen.

Neem contact op

Wilt u meer weten over onze DORA diensten? Vul het formulier in en wij nemen binnen een werkdag contact met u op.

USP

Waarom kiezen voor Secura | Bureau Veritas

Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.

Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.