Uw gids voor DORA-naleving 

Introductie tot DORA

Cybercriminelen vallen financiële instellingen harder aan dan ooit, en cyberdreigingen nemen in een alarmerend tempo toe. Volgens IBMIn 2023 werd gerapporteerd dat de gemiddelde kosten van een datalek in de financiële sector $ 5.90 miljoen bedroegen, en in 2024 steeg dit naar $ 6.90 miljoen. Bovendien verslag Uit een rapport van Trend Micro blijkt dat de bankensector in 2023 de grootste sector was voor gedetecteerde ransomware-aanvallen. Naarmate financiële instellingen steeds meer met elkaar verbonden raken en afhankelijk worden van digitale infrastructuur, nemen de risico's toe. Dit veranderende dreigingslandschap maakte duidelijk dat een sterkere, gestandaardiseerde aanpak van cybersecurity en operationele veerkracht essentieel is. Daarom is DORA geïntroduceerd. 

De Digital Operational Resilience Act (DORA) is een verordening van de Europese Unie die is ontworpen om zowel de operationele veerkracht als de naleving van regelgeving door financiële instellingen te versterken tegen risico's op het gebied van informatie- en communicatietechnologie (ICT). Financiële instellingen zijn sterk afhankelijk van ICT-systemen voor hun digitale infrastructuur, netwerken en gegevensbeheer. Als deze systemen echter niet effectief worden beheerd, kunnen ze kwetsbare toegangspunten worden voor cyberdreigingen, operationele storingen en risico's van derden. Een inbreuk op de beveiliging of operationele verstoring kan gevoelige gegevens blootleggen, kritieke diensten onderbreken en uiteindelijk de financiële stabiliteit in gevaar brengen. 

Om dit te voorkomen, biedt DORA een uitgebreid kader voor het beheren, beperken en rapporteren van ICT-gerelateerde incidenten. Dit kader zorgt ervoor dat financiële instellingen niet alleen voldoen aan de wettelijke vereisten, maar ook goed zijn toegerust om cyberdreigingen en operationele verstoringen te weerstaan, erop te reageren en ervan te herstellen. 

DORA biedt duidelijke en consistente regels voor operationele veerkracht in de hele EU, met de nadruk op: 

• Het beperken van de risico's die ontstaan ​​door de toenemende kwetsbaarheid als gevolg van de toenemende verwevenheid binnen de financiële sector. 
• Zorgen dat de afhankelijkheid van externe dienstverleners effectief wordt beheerd en dat de stabiliteit en veiligheid van financiële transacties gewaarborgd blijven.
• Het aanpakken van de nieuwe risico's die voortvloeien uit het toenemende gebruik van digitale financiële diensten. 
• Het opzetten van een uniform toezichtskader voor de hele EU om consistent toezicht en veerkracht binnen de financiële sector te garanderen. 

Wie moet voldoen aan DORA?

DORA is van toepassing op een breed scala aan financiële entiteiten, waaronder banken, verzekeringsmaatschappijen, beleggingsondernemingen, aanbieders van betalingsdiensten, aanbieders van crypto-activa en ICT-dienstverleners die deze financiële instellingen ondersteunen.  

Vanaf januari 2025 Artikel 2 van de DORA-verordening specificeert de volgende 21 categorieën van entiteiten die binnen het toepassingsgebied vallen:   

1. Kredietinstellingen 
2. Betalingsinstellingen, met inbegrip van die welke zijn vrijgesteld krachtens Richtlijn (EU) 2015/2366
3. Accountinformatiedienstverleners  
4. Alle instellingen voor elektronisch geld  
5. Beleggingsondernemingen  
6. Crypto-activa dienstverleners  
7. Centrale effectenbewaarinstellingen  
8. Centrale tegenpartijen  
9. Handelsplatformen  
10. Handelsregisters  
11. Beheerders van alternatieve beleggingsfondsen  
12. Beheermaatschappijen  
13. Leveranciers van gegevensrapportagediensten  
14. Verzekerings- en herverzekeringsondernemingen  
15. Verzekeringsbemiddelaars, herverzekeringsbemiddelaars en aanvullende verzekeringsbemiddelaars  
16. Instellingen voor bedrijfspensioenvoorziening  
17. Kredietbeoordelaars  
18. Beheerders van kritische benchmarks
19. Crowdfunding-dienstverleners  
20. Securitisatie-opslagplaatsen  
21. ICT-derdepartijdienstverleners 

Opvallend is dat de reikwijdte van DORA verder reikt dan traditionele financiële instellingen en ook externe dienstverleners in de informatie- en communicatietechnologie (ICT) omvat. Dit zijn bedrijven die digitale diensten aanbieden aan financiële instellingen, zoals cloudserviceproviders, softwareleveranciers, data-analysebedrijven en managed service providers. De opname van deze dienstverleners benadrukt de cruciale rol die zij spelen in de infrastructuur van de financiële sector en de risico's die gepaard gaan met hun afhankelijkheid. 

Volgens DORA moeten ICT-dienstverleners van derden:  

• Werk samen met financiële instellingen voor regelmatige veerkrachttests.
• Informeer de financiële instellingen over ICT-gerelateerde incidenten of verstoringen.
• Zorg voor bedrijfscontinuïteitsplannen om de dienstverlening te waarborgen tijdens onvoorziene gebeurtenissen.
• Voldoe aan de EU-vereisten voor privacy en vertrouwelijkheid om gevoelige gegevens te beschermen.

Door zowel financiële instellingen als hun kritieke ICT-dienstverleners te omvatten, streeft DORA naar een sterke en uniforme aanpak van operationele veerkracht in de financiële sector van de EU.  

DORA-tijdlijn

DORA werd voor het eerst voorgesteld op 24 september 2020 en later goedgekeurd door het Europees Parlement en de Raad op 24 november 2022. Het werd officieel gepubliceerd in het EU Journal op 27 december 2022 en trad in werking op 16 januari 2023. Financiële instellingen en externe dienstverleners kregen twee jaar de tijd om zich vertrouwd te maken met de vereisten van DORA en hieraan te voldoen voordat de volledige handhaving op 17 januari 2025 van start ging. 

Nu de deadline is verstreken, moeten organisaties ervoor zorgen dat ze volledig voldoen aan de eisen van DORA, regelmatig veerkrachttests uitvoeren en hun ICT-risicobeheerkaders voortdurend bewaken om boetes en operationele verstoringen te voorkomen.  

Kernpijlers van DORA

DORA is gebaseerd op vijf belangrijke pijlers die de digitale veerkracht van financiële instellingen versterken, namelijk: 

1. ICT-risicobeheer

   Zoals beschreven in Hoofdstuk II, is ICT-risicomanagement een fundamentele pijler van DORA. Het zorgt ervoor dat financiële instellingen een gestructureerde en proactieve aanpak hanteren om technologiegerelateerde risico's te identificeren, beoordelen en beperken. Door continue monitoring, tijdige risicobeoordelingen en adaptieve responsstrategieën af te dwingen, verbetert DORA de weerbaarheid tegen cyberdreigingen en operationele verstoringen.

   Financiële instellingen moeten de volgende maatregelen implementeren om het ICT-risicobeheer te verbeteren:

   • Stel een speciaal ICT-risicomanagementteam samen dat toezicht houdt op risico's, dienstverleners controleert, blootstelling aan risico's documenteert en ICT-gerelateerde afhankelijkheden regelmatig beoordeelt.
   • Implementeer realtime detectie van bedreigingen, continuïteitsplanning en herstelmaatregelen om een ​​snelle reactie op incidenten te garanderen.
   • Versterk de digitale veerkracht door kwetsbaarheden en cyberdreigingen te identificeren, eerdere incidenten te analyseren om de grondoorzaken te bepalen en de nodige verbeteringen door te voeren.
   • Zorg voor een gestructureerd crisiscommunicatieplan om te zorgen voor een duidelijke interne coördinatie en tijdige externe meldingen in geval van verstoringen.

2. ICT-gerelateerde incidentrapportage

   Hoofdstuk III, ICT-gerelateerd incidentbeheer, classificatie en rapportage, beschrijft een gestandaardiseerde aanpak voor het detecteren, classificeren en rapporteren van ICT-incidenten, waarmee financiële instellingen potentiële bedreigingen voor kunnen blijven.

   Onder DORA hebben financiële instellingen gestructureerde processen nodig om incidenten te volgen, de impact ervan te beoordelen en de juiste mensen te informeren, zowel intern als extern. Intern betekent dit dat problemen snel moeten worden geïdentificeerd en alle relevante teams op de hoogte moeten worden gehouden. Extern betekent dit dat toezichthouders tijdig moeten worden gerapporteerd en dat, in geval van bijvoorbeeld datalekken, de getroffen klanten moeten worden geïnformeerd.

   Om te voldoen aan DORA moeten financiële instellingen zich aan de volgende richtlijnen houden:

   • Stel een gestructureerd proces in voor het detecteren, beheren en rapporteren van ICT-incidenten. Hierbij hoort ook het registreren van alle ICT-incidenten en grote cyberdreigingen, zodat u deze kunt volgen en in de toekomst kunt analyseren.
   • Onderzoek en classificeer incidenten op basis van ernst, rekening houdend met getroffen klanten, serviceonderbrekingen, gegevensverlies, downtime en financiële impact. Documenteer de hoofdoorzaken, neem corrigerende maatregelen om herhaling te voorkomen en onderhoud systemen voor vroegtijdige waarschuwing en responsplannen om schade te beperken en snel herstel te garanderen.
   • Meld ernstige ICT-incidenten bij de toezichthoudende instanties wanneer ze de kritieke bedrijfsvoering verstoren of een veiligheidsrisico vormen.

3. Digitale operationele veerkrachttesten

   DORA verplicht financiële instellingen om hun ICT-risicomanagementkaders regelmatig te testen om te beoordelen in hoeverre ze bestand zijn tegen cyberdreigingen en operationele verstoringen. Volgens Hoofdstuk IV – Digitale Operationele Veerkrachttesten (Digital Operational Resilience Testing) moeten financiële instellingen regelmatig risicogebaseerde tests uitvoeren, waaronder kwetsbaarheidsbeoordelingen en scenariogebaseerde tests, om zwakke punten te identificeren en corrigerende maatregelen te implementeren. Deze tests moeten worden uitgevoerd door onafhankelijke interne of externe partijen.

   Om de digitale veerkracht te versterken, moeten financiële instellingen de volgende maatregelen nemen:

   • Zorg dat u een gestructureerd, op risico's gebaseerd programma voor veerkrachtstests hebt als onderdeel van uw ICT-risicomanagementkader. Zo kunt u de paraatheid voor ICT-incidenten beoordelen, zwakke punten identificeren en tijdige corrigerende maatregelen garanderen.
   • Stel duidelijke procedures op voor het prioriteren en aanpakken van problemen, met interne validatie om herstelmaatregelen bij te houden.
   • Voer jaarlijks veerkrachttests uit voor kritieke ICT-systemen en voer voor organisaties met een hoog risico minimaal elke drie jaar geavanceerde bedreigingsgestuurde penetratietests (TLPT) uit, zoals vereist door toezichthouders.

4. Beheer van ICT-risico's van derden

   DORA stelt strenge eisen aan financiële instellingen voor het beheer van risico's die verband houden met ICT-dienstverleners, waarbij Hoofdstuk V zich specifiek richt op ICT-risicobeheer door derden. Het zorgt ervoor dat financiële instellingen externe dienstverleners grondig beoordelen voordat ze overeenkomsten aangaan, om ervoor te zorgen dat ze voldoen aan de beveiligings- en regelgeving. Contracten moeten de reikwijdte van de dienstverlening, kwaliteitsverwachtingen, monitoringvereisten en beëindigingsclausules duidelijk definiëren.

   Om te voldoen aan DORA moeten financiële instellingen de volgende maatregelen implementeren:

   • Ontwikkel een duidelijke leveranciersrisicomanagementstrategie en houd een register bij van alle ICT-leveranciers. Hierin worden hun rollen in kritieke of belangrijke functies vastgelegd voor toezicht door de toezichthouder.
   • Rapporteer jaarlijks nieuwe ICT-serviceovereenkomsten aan toezichthouders en geef vooraf kennis van contracten die betrekking hebben op cruciale services.
   • Hanteer een risicogebaseerde aanpak voor audits, inspecties en monitoring van ICT-leveranciers.
   • Evalueer hoe moeilijk het is om ICT-leveranciers te vervangen, onderzoek alternatieven voordat u contracten afsluit en beoordeel de risico's met betrekking tot insolventie van leveranciers of regelgeving inzake gegevensbescherming.

5. Informatie- en inlichtingenuitwisseling

   Hoofdstuk VI bevordert de uitwisseling van informatie en dreigingsinformatie binnen de financiële gemeenschap van de EU. Door samenwerking te bevorderen, kunnen financiële instellingen het bewustzijn vergroten, de detectie van dreigingen versterken en effectievere verdedigingsstrategieën tegen cyberrisico's ontwikkelen.

   Om een ​​veilige en effectieve informatie-uitwisseling te garanderen, moeten financiële instellingen zich aan de volgende richtlijnen houden: 

   • Maak het delen van informatie over bedreigingen eenvoudiger om het bewustzijn te vergroten, cyberbedreigingen te beperken en detectie- en responsstrategieën te verbeteren.
   • Neem deel aan veilige en vertrouwde communities van financiële instellingen voor de uitwisseling van cyberinformatie.
   • Alle uitwisselingen moeten zich houden aan strikte regels voor vertrouwelijkheid, gegevensbescherming en concurrentie om gevoelige bedrijfsinformatie te beschermen.
   • Maak formele afspraken waarin u de voorwaarden voor deelname vastlegt, inclusief de betrokkenheid van overheden en externe ICT-leveranciers.
   • Stel toezichthouders op de hoogte van hun deelname aan dergelijke regelingen.

Samen vormen deze vijf pijlers een sterke basis voor financiële instellingen om ICT-risico's te beheersen en veerkracht te garanderen tegen cyberdreigingen en operationele verstoringen. Door de nadruk te leggen op proactief risicomanagement, continue tests en veilige samenwerking, versterkt DORA het vermogen van de financiële sector om kritieke activiteiten te beschermen en te voldoen aan de regelgeving. 

Rol van cryptografie in DORA

Cryptografie speelt een fundamentele rol in de Digital Operational Resilience Act (DORA) door de digitale infrastructuur, data en communicatiesystemen van financiële instellingen te beschermen. Naarmate de financiële sector afhankelijker wordt van informatie- en communicatietechnologie (ICT), kan het belang van cryptografische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van kritieke gegevens te waarborgen, niet genoeg worden benadrukt. DORA schetst specifieke verplichtingen met betrekking tot cryptografische controles om risico's te beperken die samenhangen met cyberbeveiligingsdreigingen en operationele verstoringen. 

1. Artikel 6 – Encryptie en cryptografische controles

   DORA verplicht financiële instellingen een formeel beleid op te stellen voor encryptie en cryptografische controles om financiële en klantgegevens te beschermen. Dit omvat:

   • Artikel 6.2(a) – Versleuteling van gegevens in rust en tijdens verzending ter voorkoming van ongeautoriseerde toegang.
   • Artikel 6.2(b) – Regels voor de encryptie van gebruikte gegevens, indien nodig. Indien dit niet mogelijk is, worden gebruikte gegevens verwerkt in een aparte en beveiligde omgeving of met gelijkwaardige maatregelen om de vertrouwelijkheid, integriteit, authenticiteit en beschikbaarheid te waarborgen.
   • Artikel 6.2(c) – Versleuteling van interne netwerkverbindingen en externe communicatie ter beveiliging van de uitwisseling van gevoelige gegevens.
   • Artikel 6.2(d) – Sterk beheer van cryptografische sleutels om het gebruik, de opslag en de levenscyclus van cryptografische sleutels te reguleren (met verwijzing naar artikel 7).
   • Artikel 6.4 – Periodieke updates van cryptografische technologie om de weerbaarheid tegen evoluerende cyberdreigingen te waarborgen.

2. Artikel 7 – Cryptografisch sleutelbeheer

   Goed beheer van cryptografische sleutels is cruciaal om ongeautoriseerde toegang, datalekken en operationele risico's te voorkomen. DORA vereist dat financiële instellingen:

   • Artikel 7.1 – Beheer cryptografische sleutels gedurende hun gehele levenscyclus, inclusief generatie, vernieuwing, opslag, back-up, transmissie en vernietiging.
   • Artikel 7.2 – Strikte toegangscontroles implementeren om cryptografische sleutels te beschermen tegen ongeautoriseerde toegang, wijziging of verlies gedurende hun levenscyclus.
   • Artikel 7.3 – Ontwikkel sleutelvervangingsmechanismen in geval van compromittering of schade.
   • Artikel 7.4 – Houd een register bij van alle cryptografische certificaten en certificaatopslagapparaten voor kritieke ICT-middelen.
   • Artikel 7.5 – Zorg voor tijdige vernieuwing van cryptografische certificaten om de veiligheid te handhaven.

3. Artikel 9 – Veilige authenticatie en toegangscontroles

   DORA benadrukt de noodzaak van veilige authenticatiemethoden en gecontroleerde toegang tot ICT-middelen met behulp van cryptografische beveiligingsmaatregelen. Financiële instellingen moeten:

   • Artikel 9.4(a) – Ontwikkel een informatiebeveiligingsbeleid om de authenticiteit, integriteit en vertrouwelijkheid van gegevens te waarborgen.
   • Artikel 9.4(c) – Zorg voor strikte toegangscontroles en beperk de fysieke en logische toegang tot informatie- en ICT-middelen tot uitsluitend geautoriseerde gebruikers.
   • Artikel 9.4(d) – Implementeer sterke authenticatiemechanismen op basis van erkende normen, inclusief bescherming van cryptografische sleutels.

De kosten van niet-naleving

Het niet naleven van DORA is niet alleen een kwestie van regelgeving, maar brengt ook ernstige financiële en reputatierisico's met zich mee. Financiële instellingen en externe dienstverleners (TPSP's) die niet voldoen aan de eisen van DORA, kunnen te maken krijgen met forse boetes en andere sancties.  

Dit is wat non-conformiteit kan betekenen:  

Voor financiële entiteiten:  

• Boetes van maximaal twee procent van de totale jaarlijkse wereldwijde omzet of de gemiddelde dagelijkse wereldwijde omzet. 
• Bij niet-naleving kunnen personen een boete krijgen van maximaal € 1,000,000. 

Voor externe dienstverleners (TPSP's):  

• Kritische TPSP's kunnen een boete krijgen die kan oplopen tot € 5,000,000.
• Personen die bij deze aanbieders werken, kunnen een boete krijgen die kan oplopen tot € 500,000. 
• Als een financiële instelling een groot ICT-gerelateerd incident of een grote ICT-dreiging niet meldt, kunnen de ESA's ook een boete opleggen. 

Organisaties die niet voldoen aan de eisen van DORA krijgen niet alleen te maken met aanzienlijke boetes, maar lopen ook het risico dat hun reputatie wordt geschaad en dat ze het vertrouwen van klanten verliezen.  

Wie houdt toezicht op de naleving van DORA?

DORA zal worden gehandhaafd door verschillende regelgevende instanties in de EU. De nationale bevoegde autoriteiten (NCA's) in elke EU-lidstaat zullen een sleutelrol spelen bij het toezicht op de naleving op lokaal niveau.  

Op Europees niveau zijn drie belangrijke regelgevende instanties betrokken: 

• Europese Bankautoriteit (EBA)
• Europese Autoriteit voor effecten en markten (ESMA) 
• Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) 

Deze toezichthouders hebben de bevoegdheid om toezicht te houden op de naleving van DORA en deze af te dwingen, zodat financiële instellingen voldoen aan de vereiste veerkrachtverplichtingen. Ze kunnen audits en inspecties uitvoeren om de naleving te beoordelen, boetes en sancties opleggen aan organisaties die zich niet aan de regels houden, en ICT-dienstverleners rechtstreeks controleren om ervoor te zorgen dat zij de noodzakelijke risicomanagement-, beveiligings- en operationele veerkrachtmaatregelen implementeren, zoals vereist door DORA.  

Hoe kan EC helpen?

Bij Encryption Consulting (EC) zijn we gespecialiseerd in het leveren van op maat gemaakte encryptiebeoordelingen om organisaties te helpen voldoen aan wettelijke vereisten zoals DORA, HIPAAen GDPR, evenals industrienormen zoals NIST en PCI DSSOns proces begint met het evalueren van uw huidige infrastructuur aan de hand van vastgestelde normen, zodat we eventuele hiaten in uw beveiligingsmaatregelen kunnen identificeren. Vervolgens bieden we een stappenplan aan met de stappen die nodig zijn om effectief te voldoen aan de regelgeving. Zo kunnen we u helpen:    

We beginnen met een beoordeling van uw bestaande polissen. Dit houdt in dat we uw huidige encryptiemogelijkheden in kaart brengen en inzicht krijgen in eventuele beperkingen van uw systemen. We onderzoeken ook uw algehele beveiligingsconfiguratie om een ​​compleet beeld te krijgen van uw omgeving, rekening houdend met verschillende use cases die relevant zijn voor uw organisatie. 

Vervolgens wij brengen de hiaten in uw huidige beleid in kaartDit omvat het identificeren van hiaten in uw bestaande beleid ten opzichte van industrienormen om naleving van beveiligings- en compliancevereisten te garanderen. We organiseren ook workshops om discussies over uw huidige applicaties te faciliteren en samenwerking tussen teamleden te stimuleren om waardevolle inzichten te verzamelen. Daarnaast stellen we een beoordelingsvragenlijst op die is ontworpen om belangrijke informatie over uw encryptiepraktijken te verzamelen. Door middel van deze evaluatie identificeren we bestaande mogelijkheden voor data-encryptie en identificeren we specifieke verbeterpunten. 

Zodra de beoordeling is voltooid, we gaan over in de implementatie fase Met een gedetailleerde routekaart. We bieden een uitgebreid rapport met een samenvatting van onze bevindingen en aanbevelingen voor elke bevinding. Dit rapport dient als basisgids voor de implementatie van noodzakelijke encryptieverbeteringen. Onze routekaart stemt uw processen af ​​op industriestandaarden, versterkt de gegevensbeveiliging en waarborgt compliance. 

Door te kiezen voor onze encryptiebeoordelingsdiensten, zet u een proactieve stap in de richting van het versterken van de naleving van relevante normen door uw organisatie. Wij begeleiden u door het proces en zorgen ervoor dat uw strategieën zowel effectief zijn als aansluiten bij uw bedrijfsdoelen. 

Conclusie

Digitale operationele veerkracht is niet langer een optie; het is een noodzaak geworden. Daarom is DORA geïntroduceerd. Het schetst een duidelijk kader voor het beheersen van ICT-risico's, het verbeteren van incidentrespons en het beveiligen van afhankelijkheden van derden. Effectief ICT-risicomanagement, proactieve incidentrespons en strenge veerkrachttests gaan niet alleen over naleving van regelgeving; ze zijn essentieel voor het handhaven van stabiliteit in een steeds digitaler wordende wereld. Door de principes van DORA te integreren in de dagelijkse bedrijfsvoering kunnen bedrijven hun verdediging versterken, het vertrouwen van klanten beschermen en zich aanpassen aan evoluerende bedreigingen.