DORA: versterking van cyberbeveiliging in de financiële sector

Vanaf 17 januari 2025 moeten alle financiële operatoren voldoen aan DORA (Digital Operational Resilience Act). Met de bedoeling om het systeemrisico te verminderen, heeft DORA gevolgen voor alle financiële actoren — maar biedt het ook de mogelijkheid voor de hele financiële sector om haar digitale veerkracht te verbeteren. Nu met het werk beginnen, is essentieel.

March 29, 2023
Author:
Reviewer:
Spread the word

Met een enorme Een stijging van 55 procent bij algemene dreigingsdetecties in 2022 wordt de behoefte aan een meer proactieve en geharmoniseerde EU-regelgeving dringend noodzakelijk. In dat opzicht is DORA een belangrijk onderdeel voor een continue digitale innovatie van alle financiële diensten.

Veerkracht op het gebied van beveiliging in beeld

Met het grote aantal aanvallen is bescherming alleen simpelweg niet voldoende. In plaats daarvan is het van cruciaal belang dat je op een gebeurtenis voorbereid bent, weet wat en waar je een incident moet melden en de services weer aan de praat kunt krijgen nadat zich een gebeurtenis heeft voorgedaan. En ook om deze routines en processen te documenteren.

Voor de meeste actoren in de financiële sector zijn de meeste noodzakelijke zaken al geregeld. De uitdaging is nu om alle functies toe te wijzen en samen te laten werken. Voor veel actoren gaat het erom het risico te vermijden dat ze niet aan de regels voldoen, door van een beste praktijk over te gaan op een systematischer, gedocumenteerd cyberbeveiligingsbeheer.

Vijf pijlers

Om aan DORA te voldoen, moeten financiële actoren beschikken over de operationele routines voor vijf kernpijlers:

  1. ICT-risicobeheer
    DORA vereist veerkrachtige ICT-systemen en -hulpmiddelen, evenals de mogelijkheid om beveiligings-, detectie- en preventiemaatregelen te identificeren, te classificeren en te documenteren. Actoren moeten ook in staat zijn om te reageren en te herstellen, te leren en te evolueren, met communicatieplannen.

  2. Beheer van ICT-incidenten
    Door de levenscyclus van informatiebeveiliging te volgen, moeten actoren beschikken over een proces voor incidentbeheer. Met routines voor het classificeren van incidenten en bedreigingen, met veel aandacht voor de beoordeling en analyse van de hoofdoorzaken na een incident, en ook met de vereiste rapportage van grote ICT-gerelateerde incidenten aan de juiste autoriteiten.

  3. Testen van operationele veerkracht
    Actoren moeten hun capaciteiten en functies testen, met een op risico gebaseerde aanpak. Ze moeten ook een volledige reeks geschikte tests uitvoeren, waaronder geavanceerde penetratietests onder invloed van bedreigingen en vereisten voor testers van derden.

  4. Risicobeheer door derden
    Het monitoren van ICT-risico's van derden door het registreren van informatie over het gebruik van externe leveranciers wordt verplicht. Altijd met een beoordeling vóór een contractuele overeenkomst en met inhoudelijke vereisten voor contracten.

  5. Toezicht en rapportage
    Alle actoren hebben routines nodig voor het melden van incidenten, zowel intern als in ruil met andere financiële entiteiten, en ook voor externe rapportage van grote ICT-gerelateerde incidenten.

Om deze pijlers goed te laten functioneren, moet er een goed bestuursmodel voor cyberbeveiliging zijn, waarbij rollen en verantwoordelijkheden worden veiliggesteld, de digitale operationele strategie en het beleid worden veiliggesteld en toezicht wordt gehouden op risicobeheersing en -monitoring.

Begin nu met het plannen van de werkzaamheden

Januari 2025 lijkt misschien ver weg, maar de sleutel om aan DORA te voldoen is om nu te beginnen met het plannen van de werkzaamheden. Maak gebruik van de activiteiten die al zijn uitgevoerd, geef prioriteit aan het werk en vraag indien nodig om hulp.

Via ons NanoLearning-platform biedt Junglemap bewustwording als een service, wat nuttig kan zijn wanneer leer- en bewustmakingsprogramma's verplicht worden, naast de deelname van het management aan beveiliging.

Met onze standaardcursussen over informatiebeveiliging voor alle werknemers, voor managers en op rollen gebaseerde cursussen gericht op product- en ontwikkelingsteams, hopen we bij te dragen met een belangrijk hulpmiddel voor elke organisatie die zich inzet om digitaal veerkrachtig te worden.

Nieuwste blogposts over cyber security

November 18, 2022
Information Security

Strijd tegen menselijke impulsen. Versterk het STAR-gedrag!

Maar liefst 8 op de 10 datalekken wordt veroorzaakt doordat mensen een vergissing maken of onzorgvuldig handelen.
Lees meer
May 27, 2024
Information Security

De voedingssector - wat is er nieuw bij NIS2?

Met een bredere dekking van sectoren, strengere vereisten voor risicobeheer en het melden van incidenten en strengere straffen voor niet-naleving, is de nieuwe NIS2-richtlijn de meest uitgebreide Europese cyberbeveiligingsrichtlijn tot nu toe.
Lees meer
May 3, 2023
Privacy

Workation? Neem geen vakantie van cyberbeveiliging

Op afstand werken tijdens het reizen — op het werk — brengt verborgen cyberbeveiligingsrisico's met zich mee. Leer hoe je veilig kunt blijven, zelfs als je niet op kantoor bent.
Lees meer
Bekijk alles