Een samenvatting van de DORA wetgeving

Een korte uitleg van de DORA verordening en wat deze betekent.

> Een samenvatting van de DORA wetgeving

8 VRAGEN EN ANTWOORDEN OVER DE DIGITAL DIGITAL OPERATIONAL RESILIENCE ACT

Wat is de nieuwe DORA wetgeving in het kort? Die vraag stellen onze klanten ons steeds vaker. Secura vaak. Experts Eva van Emmerik en Ben Brücker, werkzaam bij Secura, beantwoorden de meest gestelde vragen over DORA. Begin 2025 moet de financiële sector in Europa klaar zijn voor deze cybersecuritywet.

1. Wat is DORA?

'DORA richt zich op de bescherming van netwerken en informatiesystemen. Het is een Europese verordening waar de hele financiële sector in de EU zich aan moet houden', zegt Eva van Emmerik. Zij werkt als Group Manager Finance bij Secura en helpt organisaties in de financiële sector met hun digitale beveiliging. 'Het doel van deze wet is om de sector weerbaarder te maken tegen digitale risico's.'

2. VANAF WANNEER GELDT DORA VOOR MIJN ORGANISATIE?

Van Emmerik: 'Vanaf 17 januari 2025 moeten alle Europese financiële instellingen aan DORA voldoen. De details van de regelgeving worden steeds duidelijker. Batch 1 van de Regulatory Technical Standards (RTS) en de Implementing Technical Standards (ITS) zijn op 17 januari 2024 gepubliceerd. Batch 2 van deze standaarden is gepubiceerd op 17 juli 2024.' Dit betekent dat u nog maar kort de tijd hebt om u voor te bereiden op de naleving van de DORA-regelgeving.

3. WAAROM IS DORA INGEVOERD?

‘De financiële wereld is natuurlijk al langer gebonden aan wetten en regels en het bijbehorende toezicht’, zegt Van Emmerik. ‘Maar die richten zich vooral op het financiële aspect, denk aan kredietrisico’s of anti-fraude.'

De cybersecurityeisen ontwikkelen zich nu ook: ‘We hadden al vanaf 2016 de NIS Directive, gericht op het beveiligen van netwerk en informatie systemen. Maar DORA is de eerste Europese norm voor de financiële sector die zegt: je moet al je digitale ICT-risico’s in kaart brengen.’

Dit betekent dat alle financiële partijen aan min of meer dezelfde eisen moeten voldoen. ‘Dus niet alleen de grootbanken, die vaak toch al goed gereguleerd zijn en waar cyber security prioriteit heeft.’

‘Het grootste voordeel van DORA is dat de hele sector uiteindelijk weerbaarder wordt tegen bedreigingen’, vindt Van Emmerik. ‘Ook internationale samenwerking wordt waarschijnlijk makkelijker, omdat je allemaal op dezelfde manier geacht wordt te werken.’

Eva van Emmerik

Eva van Emmerik

Group Manager Finance

Secura

Het grootste voordeel van DORA is dat de hele financiële sector van de EU beter bestand zal zijn tegen bedreigingen.

4. VOOR WIE GELDT DORA?

DORA gaat niet alleen gelden voor banken en financiële instellingen, maar ook voor kritieke leveranciers aan de financiële sector, legt Van Emmerik uit: ‘Denk aan een bedrijf dat het netwerk beheert van een bank, om een simpel voorbeeld te geven.’

‘Als de bank veilig is, maar de ICT-leverancier niet, dan heb je natuurlijk nog steeds een groot risico. Dus deze leveranciers vallen ook onder DORA.’

Kritieke dienstverleners zullen wel te maken krijgen met iets andere regels dan banken of vermogensbeheerders.

Ben

Ben Brücker

Red Teaming Lead

Secura

Het is belangrijk om een test uit te voeren die voldoende diepgang heeft om een nauwkeurig beeld te krijgen van de cyberweerbaarheid van een bedrijf, maar op een manier die de test betaalbaar maakt.

5. WAT BETEKENT DORA VOOR MIJN ORGANISATIE?

‘Voor grote banken en pensioenfondsen die al veel doen aan security zal DORA niet zo spannend zijn’, verwacht Van Emmerik. Zij kunnen een gap-analyse doen: wat doen we al en wat moet er nog gebeuren?

‘Maar de wat kleinere bedrijven staan wel voor een uitdaging. Zij moeten misschien dingen gaan doen die ze nog niet deden.’

De 5 belangrijkste elementen van DORA zijn:

  1. U moet een ICT Risk Management Framework hebben
  2. U moet een incident respons proces hebben
  3. Testen moet vaker en wordt verplicht
  4. Third party risico's moeten in kaart zijn gebracht, dus de risico’s die uw leveranciers lopen
  5. Dreigingsinformatie delen wordt verplicht

INCIDENTPROCES UITGEBREID

Het incident response proces wordt uitgebreid, zegt Van Emmerik: ‘Voorheen was dit proces een standaard onderdeel van het risicomanagement framework dat een organisatie al had. Maar DORA gaat een stap verder. Je moet een incident classificeren, en in bepaalde gevallen op de juiste manier melden.’

VAKER EN VERPLICHT TESTEN

De wetgeving betekent ook: meer en verplicht testen, zegt Brücker. ‘Financiële instellingen moeten één keer per drie jaar een Threat-Led Penetration Test, of TLPT, laten uitvoeren. En daarbij kunnen mogelijk ook de IT-dienstverleners worden meegenomen. Testen is op dit moment nog niet verplicht, dus dat is een verandering.’

6. WAT IS DE RELATIE TUSSEN NIS2 EN DORA?

DORA is niet de enige grote cybersecurityrichtlijn die de komende tijd van kracht wordt. Ook NIS2 stelt eisen aan de digitale veiligheid van bedrijven en organisaties in Europa.

Hoe verhouden die twee richtlijnen zich tot elkaar? Van Emmerik: ‘Beide gaan over de veiligheid van ICT. Het verschil is dat DORA zich puur op de financiële sector richt en NIS2 op alle kritieke sectoren. Voor de financiële sector zal DORA leidend zijn.’

Een ander verschil is dat NIS2 een richtlijn is die in elke lidstaat tot eigen wetgeving leidt. DORA is een verordening die in elke lidstaat op dezelfde manier geldt.

7. WAAR MOET MIJN ORGANISATIE BEGINNEN MET DORA?

01

STAP 1: BRENG RISICOMANAGEMENT IN KAART

‘Je voorbereiden op DORA begint aan de proceskant’, adviseert Van Emmerik. ‘Het is goed om eerst te kijken of je een ICT Risk Management Framework hebt. Dat is de basis. Er zijn standaard frameworks die je kunt gebruiken als je die nog niet hebt.’

02

STAP 2: DOE EEN GAP ASSESSMENT

Als de organisatie al een framework gebruikt, controleer dan of dat framework elementen mist die in de nieuwe wetgeving nodig zijn, met een gap-analyse. Is security testing al onderdeel van het risicomanagement of niet? En hoe is dat geregeld bij de leveranciers?

03

STAP 3: CHECK HET INCIDENT PROCES

Denk goed na over incident processen. Heeft de organisatie de capaciteit om incidenten goed te melden?

04

STAP 4: ZORG VOOR EEN TESTPLAN

‘Wat ga ik testen? Wanneer ga ik testen? Hoe ga ik aantonen wat ik getest heb? Zorg dat je een testprogramma of testplan hebt voor de komende jaren, en een partij met genoeg capaciteit om je daarbij te helpen’, adviseert Van Emmerik.

Een organisatie die al een volwassen security heeft kan het beste een gap assessment doen om te kijken welke aanvullende maatregelen voor DORA nodig zijn.

8. WAT IS DE GROOTSTE UITDAGING VAN DORA?

Hoewel Van Emmerik en Brücker positief zijn over DORA, voorzien ze ook problemen.

1. VEEL WERK

‘Ben je in je eentje CISO van een organisatie waar cyber security nog niet veel aandacht heeft gehad, dan gaat DORA je veel werk opleveren’, zegt Van Emmerik.

‘Er komt door DORA en NIS2 zoveel werk aan voor de sector, dat er waarschijnlijk niet genoeg mensen zijn om al dit werk uit te voeren binnen de gestelde tijd. Security-mensen zijn schaars, dus dat is de eerste uitdaging.’

2. INCIDENTEN MELDEN

Je wordt verplicht om beveiligingsincidenten te melden. Maar de vraag is: hoe wordt dat gefaciliteerd?’ vraagt Van Emmerik zich af. ‘Wat gebeurt er met die informatie? Het is voor organisaties wel spannend om dit soort incidenten te moeten melden.

3. RISICO’S BIJ DERDE PARTIJEN

Een derde uitdaging aan DORA: controle krijgen over de risico’s bij derde partijen. ‘Wat als je derde partij een kleine IT-leverancier is of een buitenlandse partij waar je niet zoveel controle op hebt? Hoe ga je dat doen? Dat is nog niet duidelijk.’

Highlight-image

Uitnodiging

Doe mee aan ons aankomende webinar waar we de laatste Regelgevende Technische Normen (RTS) binnen DORA bespreken, interpreteren en toepassen. Dit betreft BATCH 2.

Dit webinar biedt twee essentiële perspectieven: vanuit een technisch perspectief en vanuit een procedureel perspectief.

MEER INFORMATIE EN REGISTRATIE

Logo

Meer Informatie

Ontdek hoe Secura u kan helpen met de voorbereiding voor DORA. Vul het formulier in en we nemen binnen één werkdag contact met u op.

Eva van Emmerik

Group Manager Finance

Ben Brücker

Red Teaming Manager | Senior Security Specialist

OVER SECURA

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.