.png)
De Digital Operational Resilience Act (DORA) is de EU-wet inzake digitale operationele veerkracht voor financiële entiteiten. DORA is gericht op het bereiken van een uniform hoog niveau van digitale veerkracht in de hele EU. Het stelt uniforme eisen aan informatienetwerken en systemen die financiële bedrijfsprocessen ondersteunen.
DORA legt uitgebreide eisen op voor bescherming, detectie, isolatie, herstel en herstel wanneer zich een beveiligingsincident voordoet. Daarnaast omvat het kader grondig risico- en incidentbeheer, het delen van cyberbedreigingen en kwetsbaarheden, bepalingen voor het testen van de veerkracht en de verplichting om incidenten te melden aan de relevante autoriteiten.
We hebben het DORA-eisenkader voor Cyberday in het najaar van 2024 gepubliceerd - je kunt het activeren via het gedeelte "kaders bewerken" van het Organisatiedashboard. In deze blog gaan we uitgebreider in op wat DORA is en wat het bevat, op wie het raamwerk eigenlijk van toepassing is en nemen we een kijkje hoe DORA eruitziet wanneer het binnen Cyberday staat. Dus laten we beginnen!
Terwijl het digitale landschap zich blijft uitbreiden, staat de financiële sector onder voortdurende druk om zich te beschermen tegen cyberbedreigingen. Enter de Digital Operational Resilience Act, een wetgevingsinspanning geïntroduceerd door de Europese Unie om de cyberweerbaarheid van financiële instellingen te versterken. De DORA, die op 14 december 2022 werd ingevoerd, betekent een fundamentele verschuiving in de manier waarop financiële entiteiten digitale bedreigingen moeten beheren.
DORA laat zien dat financiële instellingen zich moeten richten op operationele risico's, en niet alleen op financiële. DORA is niet zomaar een regel die gevolgd moet worden - het is een kans voor financiële bedrijven om hun digitale verdediging te versterken. Door DORA in de praktijk te brengen, kunnen financiële instellingen hun reactie op IT-storingen of cyberaanvallen standaardiseren, waardoor het financiële systeem sterker en veerkrachtiger wordt.
Het aftellen naar DORA is in volle gang, aangezien de Act op 17 januari 2025 operationeel moet zijn. Terwijl organisaties zich voorbereiden om aan deze kritieke vereisten te voldoen, hebben ze een vitale kans om hun cyberbeveiligingsmaatregelen te verfijnen en te verbeteren. Door een proactieve houding zorgen ze niet alleen voor naleving van de regelgeving, maar versterken ze ook het vertrouwen en de stabiliteit op het digitale terrein. DORA omarmen betekent de details ervan begrijpen en de verdediging tegen cyberbedreigingen verbeteren.
Het toepassingsgebied van DORA omvat een breed scala aan financiële entiteiten die actief zijn binnen de Europese Unie, waaronder ook entiteiten van buiten de EU. Het doel is ervoor te zorgen dat deze entiteiten bestand zijn tegen, kunnen reageren op en kunnen herstellen van alle soorten verstoringen en bedreigingen van de informatie- en communicatietechnologie (ICT). Hier is een meer gedetailleerd overzicht van de reikwijdte van DORA:
DORA legt niet alleen de nadruk op het beveiligen van technische infrastructuur, maar ook op het behouden van digitale operationele veerkracht, waardoor het cruciaal is voor entiteiten om zowel digitale bedreigingen als operationele risico's aan te pakken. DORA is van toepassing op een breed scala aan financiële instellingen, waaronder, maar niet beperkt tot:
Het toepassingsgebied van DORA is breed, maar het richt zich in de eerste plaats op entiteiten met een directe of significante impact op het financiële systeem van de EU, zodat bepaalde kleinere entiteiten of financiële instellingen die niet tot de kernactiviteiten behoren mogelijk niet onder de vereisten vallen. Dit kunnen bijvoorbeeld kleine en micro-ondernemingen zijn in bepaalde financiële sectoren die niet tot de kernactiviteiten behoren en die geen grote hoeveelheden gevoelige financiële gegevens verwerken, en ICT-dienstverleners die niet-kritieke of niet-kerndiensten aan de financiële sector leveren.
De verordening is bedoeld om ervoor te zorgen dat al deze entiteiten consistente cyberbeveiligingsmaatregelen hebben, ongeacht hun omvang of aard, waarbij de nadruk ligt op hun operationele veerkracht tegen ICT-risico's.
De Digital Operational Resilience Act is een regelgevend kader van de Europese Unie gericht op het versterken van de cyberbeveiliging en operationele veerkracht van financiële entiteiten binnen de EU. Hoewel DORA niet per se een cyberbeveiligingsraamwerk is, legt het een regelgevend kader vast dat elementen van verschillende bekende cyberbeveiligingsprincipes en -praktijken integreert. In wezen verbetert DORA de digitale operationele veerkracht binnen de financiële sector. Maar welke specifieke maatregelen worden er genomen om dit te bereiken?
Stelt eisen aan het beheer van risico's van informatie- en communicatietechnologie (ICT), waaronder het opzetten van governancekaders, het uitvoeren van risicobeoordelingen en het implementeren van controles om geïdentificeerde risico's te beperken.
Door financiële instellingen en hun leveranciers op één lijn te brengen met uniforme standaarden en vereisten zoals de ISO 27001-norm en het NIST CSF, wordt de verdediging tegen een zich ontwikkelend bedreigingslandschap versterkt . Deze consistentie vereenvoudigt de naleving en zorgt ervoor dat geen enkele instelling wordt blootgesteld aan cyberrisico's. Hoofdstuk II bestaat uit een breed thema en introduceert eisen voor informatiebeveiliging in het algemeen. Enkele van de uit te lichten artikelen zijn:
Artikel 9a: Bescherming: Dit artikel gaat specifiek over de bescherming van informatiesystemen; bedrijven moeten hun ICT-systemen voortdurend bewaken en controleren om de veiligheid te waarborgen, risico's te minimaliseren en voorbereid te zijn op het ergste. Maatregelen kunnen bijvoorbeeld bestaan uit toegangsbeheer, versleuteling van back-upgegevens en fysieke beschermingsmaatregelen.
Artikel 9b: Preventie: Aangezien het eerste deel over bescherming gaat, beschrijft het tweede deel van artikel 9 de vereisten voor financiële entiteiten om risico's voor hun ICT-systemen te beschermen en te voorkomen. Maatregelen ter voorkoming van risico's kunnen bijvoorbeeld bestaan uit het definiëren van toegangsrechten, bewustmaking van personeel en bestandsbeheer.
financiële entiteiten ontwikkelen en documenteren een informatiebeveiligingsbeleid waarin regels worden vastgelegd om de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, informatiemiddelen en ICT-activa te beschermen, met inbegrip van die van hun klanten, indien van toepassing.
Artikel 10: Detectie: Financiële entiteiten moeten maatregelen nemen om problemen of kwetsbaarheden in hun ICT-netwerken snel op te sporen. Deze mechanismen moeten gelaagde controles, duidelijk gedefinieerde alarmdrempels en geautomatiseerde meldingen omvatten om de reactie op incidenten te ondersteunen.
Hoofdstuk III legt een gestandaardiseerde aanpak op voor het melden van significante ICT-gerelateerde incidenten aan de relevante autoriteiten. Het doel is te zorgen voor tijdige en accurate communicatie van incidenten die de financiële stabiliteit of consumenten kunnen beïnvloeden.
DORA verbetert de reactie op incidenten door rapportage- en reactieprocessen te stroomlijnen, waardoor bedrijven snel en effectief kunnen handelen.
Dora vereist regelmatige tests van de operationele veerkracht van ICT-systemen, waaronder kwetsbaarheidsbeoordelingen, penetratietests en dreigingsgestuurde penetratietests (TLPT).
Ervoor zorgen dat systemen bestand zijn tegen aanvallen is een primaire focus, DORA vereist dat entiteiten rigoureuze digitale operationele veerkrachttesten uitvoeren. Dit betekent regelmatige en grondige beoordelingen om de effectiviteit van beveiligingsmaatregelen te valideren en ervoor te zorgen dat zwakke punten worden geïdentificeerd en onmiddellijk worden verholpen.
Dit richt zich op het beheren van risico's die samenhangen met externe ICT-dienstverleners. Het omvat regels rond uitbesteding, monitoring en risicobeoordelingen van relaties met derden, en ervoor zorgen dat deze leveranciers zich ook houden aan de principes van beveiliging en veerkracht.
DORA versterkt het risicobeheer van derden door strikt toezicht op en beoordeling van ICT-aanbieders af te dwingen, door ervoor te zorgen dat uitbestede partners aan dezelfde beveiligingsnormen voldoen en door de kwetsbaarheden in het onderling verbonden financiële ecosysteem te verminderen.
Hoofdstuk VI moedigt financiële entiteiten aan om informatie over dreigingen en informatie over cyberdreigingen, incidenten en kwetsbaarheden binnen de sector te delen, waardoor een gezamenlijke verdediging tegen cyberrisico's wordt bevorderd. Het verplicht delen van informatie helpt organisaties om te leren van incidenten, waardoor de impact wordt verkleind en toekomstige voorvallen worden voorkomen.
DORA gaat uit van een brede, risicogebaseerde benadering en vereist dat entiteiten robuuste cyberbeveiligingspraktijken aannemen, die goed aansluiten bij wereldwijd erkende raamwerken zoals ISO 27001, NIST CSF en CIS Controls, terwijl ze ook ingaan op de specifieke behoeften van de financiële sector.
Zoals eerder vermeld, is DORA beschikbaar om mee te werken op Cyberday. In Cyberday bestaat Dora uit 5 clausules en 42 vereisten die zijn opgesplitst in geprioriteerde beleidsregels en taken. Op Cyberday vind je ook veel andere frameworks die in deze blog worden genoemd, zoals de ISO 27001 standaard en het NIST cybersecurity framework. Je kunt dus werken aan DORA op zichzelf, of in combinatie met andere beschikbare raamwerken. Als je Cyberday nog niet hebt kunnen uitproberen, neem dan hier een gratis proefversie van 14 dagen.
DORA dient als leidraad voor regelgeving en als samenwerkingsstandaard, die processen in de financiële sector samenbrengt om gezamenlijke uitdagingen op het gebied van digitale weerbaarheid aan te pakken. De duidelijke richtlijnen voor risicobeheer, incidentrapportage en weerbaarheidstests stellen organisaties van elke omvang in staat om cyberbeveiliging met vertrouwen te benaderen en een proactieve en consistente verdediging tegen evoluerende bedreigingen te bevorderen.
Uiteindelijk legt DORA niet alleen richtlijnen op, maar bouwt het actief aan een samenwerkend ecosysteem waarin entiteiten beter voorbereid zijn om cyberbedreigingen tegen te gaan, gegevens te beveiligen en het vertrouwen van hun belanghebbenden te behouden. Voor instellingen die worstelen met de complexiteit van digitale bedreigingen, is DORA een standvastige bondgenoot in hun cyberbeveiligingsstrategie.
Mist Cyberday een raamwerk waaraan je zou willen werken? DORA werd gepubliceerd op Cyberday dankzij de wensen van onze gebruikers. Ons team werkt voortdurend aan het beschikbaar maken van nieuwe frameworks, dus wens je favoriet, je wens kan uitkomen ⭐️ Naar de frameworks.
