De trainingseisen van DORA en hoe eraan te voldoen
De nieuwe regelgeving van DORA vereist verschillende soorten training: niet alleen voor werknemers, maar ook voor het hoger management. Welke training vereist DORA precies?
... > Training > De trainingseisen van DORA en hoe eraan te voldoen
Wat zijn de trainingseisen van DORA?
Veel bedrijven in de financiële sector hebben maatregelen getroffen op het gebied van cyberbeveiliging, zegt Eva van Emmerik, Manager Financial Markets bij Secura. 'Maar met de nieuwe DORA-verordening wordt cybersecurity in deze sector nog verder geprofessionaliseerd. Vanaf 17 januari 2025 moeten EU-bedrijven in de financiële sector voldoen aan DORA, de Digital Operational Resilience Act. DORA vereist onder andere een aantal opleidingsmaatregelen.'
Actuele kennis
Een van de vereisten van DORA is dat het bestuur over actuele kennis van cyberbeveiliging moet beschikken, zegt Van Emmerik. 'Maar in feite eist DORA dat al het personeel wordt getraind op het gebied van cyberbewustzijn en operational resilience. Elke training moet relevant zijn voor de rol die iemand binnen het bedrijf speelt. Bedenk dus welk mogelijk risico iemand vormt voor de organisatie en hoe u die persoon kunt trainen om dat risico op de juiste manier aan te pakken als dat nodig is. Vanuit dat perspectief is het ook relevant om na te denken over uw externe IT-providers en hoe u ervoor kunt zorgen dat zij ook de juiste cybersecuritytraining hebben gehad.'
Eva van Emmerik
Manager Financial Markets
Secura
Zorg dat u weet wat DORA van u vraagt, zodat u voldoende tijd hebt om uw verantwoordelijkheden in kaart te brengen. Als management moet u voldoende begrijpen van cyberbeveiliging om weloverwogen beslissingen te kunnen nemen.
Waarom vereist DORA managementtraining?
Eva van Emmerik: 'DORA stelt in artikel 5 dat het management 'de eindverantwoordelijkheid moet dragen voor het beheer van het ICT-risico van de financiële entiteit.' Dit betekent dat directieleden en hoger management verantwoordelijk worden gehouden voor de cybersecurity van hun organisatie.'
'Natuurlijk hebben veel managers enige kennis van cyberbeveiliging of ervaring met een bewustwordingstraining. Maar behalve de CISO denken de meeste mensen niet dagelijks na over cybersecurity, laat staan dat ze een diepgaand begrip hebben van dit vakgebied dat continu in ontwikkeling is. Om de gevolgen van bepaalde risico's te kunnen overzien, of om bij een cyberincident het hoofd koel te houden en de juiste beslissingen te nemen, moet u weten waar u het over heeft. Daarom stelt DORA expliciet dat het management cyberbeveiligingstrainingen moet volgen.'
Trainingsvereisten voor bestuur
Artikel 5.4 van DORA: De leden van het leidinggevend orgaan van de financiële entiteit onderhouden actief voldoende kennis en vaardigheden om ICT-risico en de gevolgen daarvan voor de verrichtingen van de financiële entiteit te begrijpen en te beoordelen, onder meer door regelmatig specifieke opleidingen te volgen die in verhouding staan tot het te beheren ICT- risico.
Wie moet een DORA Boardroom Training volgen?
Zorg er in de eerste plaats voor dat de directie en het hoger management van de organisatie aanwezig zijn bij een training, zegt Van Emmerik. 'Maar probeer ook de security officer en IT-manager toe te voegen. Cybersecurity is een gezamenlijke verantwoordelijkheid en op deze manier kan iedereen elkaar ontmoeten en actuele zaken bespreken. DORA gaat ook in op juridische aspecten, dus nodig misschien ook een vertegenwoordiger van de juridische afdeling uit. Deze nauwe relatie tussen cybersecurity en juridische eisen is de reden waarom Secura de krachten heeft gebundeld met De Clercq Advocaten en Notariaat voor onze eigen DORA Boardroom Training.'
Natascha van Duuren
Lawyer and partner
De Clercq Lawyers and Notary
DORA bevat een groot juridisch aspect. Zo vereist het processtappen rond het contracteren en selecteren van de IT-serviceprovider en schrijft het ook een groot aantal inhoudelijke eisen voor aan IT-contracten.
Trainingsvereisten voor het hele bedrijf
Artikel 13.6: Financiële entiteiten ontwikkelen ICT-bewustmakingsprogramma's en digitale operationele weerbaarheidstrainingen als verplichte modules in in de opleidingsprogramma’s voor het personeel. [Deze] zijn van toepassing op alle werknemers en het hoger leidinggevend personeel en hebben een complexiteitsniveau dat in verhouding staat tot hun takenpakket.
Hoe weet u of u voldoet aan de trainingseisen van DORA?
DORA specificeert niet welke cyberbeveiligingstraining precies voldoet, zegt Van Emmerik. 'Het is aan organisaties zelf om hier invulling aan te geven. Elke werknemer moet getraind zijn op een niveau dat relevant is voor de functie, mensen moeten up-to-date kennis hebben en de organisatie moet kennis bijwerken na een incident. Cybersecurity is een dynamisch vakgebied, dus deze eis betekent dat een eenmalige training niet voldoende is: het is een continu proces.'
Per wanneer moet u voldoen aan de trainingseisen van DORA?
Als DORA op uw organisatie van toepassing is, moet u uiterlijk op 17 januari 2025 aan de eisen voldoen. 'Wacht niet tot dat moment om te beginnen met deze trainingseisen', adviseert Van Emmerik 'Als u honderd mensen moet opleiden en u wacht tot december 2024, haalt u de deadline zeker niet. Geef uw personeel voldoende tijd.'
DORA training
DORA Boardroom Training
Neem contact op
Wilt u meer weten over onze DORA diensten? Vul het formulier in en wij nemen binnen een werkdag contact met u op.
Waarom kiezen voor Secura | Bureau Veritas
Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.
Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.