Zoeken

Het ICT-risicokader van DORA: wie is waarvoor verantwoordelijk?

In een steeds gedigitaliseerdere wereld worden financiële instellingen geconfronteerd met een groeiend aantal risico's op het gebied van informatie- en communicatietechnologie (ICT). Om deze uitdagingen aan te pakken, heeft de Europese Unie de Digital Operational Resilience Act (DORA) regelgeving geïntroduceerd. DORA heeft als doel een robuust en alomvattend kader voor ICT-risicobeheer op te zetten om de veiligheid, stabiliteit en continuïteit van financiële diensten te waarborgen. In deze blog gaan we dieper in op de belangrijkste onderdelen van DORA en het belang ervan voor de financiële sector.

Begrijp de DORA-regelgeving

De Digital Operational Resilience Act wed schetst een breed en diepgaand kader dat is ontworpen om verschillende ICT-risico's aan te pakken waarmee financiële entiteiten worden geconfronteerd. De regelgeving omvat een breed scala aan aspecten, waaronder ICT-risicobeheer, back-upbeleid, detectiemechanismen, reactie- en herstelprocedures, communicatiestrategieën en meer.

1. ICT risk management framework

De kern van DORA wordt gevormd door het ICT risk management framework. Financiële entiteiten moeten een degelijke, alomvattende en goed gedocumenteerde aanpak opstellen om ICT-risico's efficiënt aan te pakken. Dit framework moet zowel informatie als ICT-activa, waaronder computersoftware, hardware en gevoelige infrastructuren, beschermen tegen ongeoorloofde toegang, schade en gebruik.

Verantwoordelijk voor: Hoger management, Chief Information Officer (CIO), Chief Technology Officer (CTO), IT-beveiligingsteam, Risicomanagementteam

2. ICT-systemen, -protocollen en -tools

Financiële entiteiten moeten geactualiseerde ICT-systemen, -protocollen en -hulpmiddelen gebruiken en onderhouden die passen bij de omvang van hun activiteiten. Deze systemen moeten betrouwbaar zijn, gegevens accuraat en snel kunnen verwerken en technologisch weerbaar zijn voor ongunstige situaties.

Verantwoordelijk voor: IT-afdeling

3. Identificatie en detectie

Om snel afwijkende activiteiten en potentiële bedreigingen te detecteren, moeten financiële entiteiten alle ICT-ondersteunde bedrijfsfuncties, informatiemiddelen en afhankelijkheden identificeren en classificeren. Detectiemechanismen moeten meerdere controlelagen mogelijk maken, alarmdrempels definiëren en incidentresponsprocessen in gang zetten.

Verantwoordelijk voor: IT Security Team, Incident Response Team, IT Operations Team

4. Reactie en herstel

DORA verplicht de implementatie van ICT-beleid voor bedrijfscontinuïteit en respons- en herstelprocedures om de continuïteit van kritieke functies te waarborgen. Deze maatregelen omvatten back-up- en herstelmethoden en veilig gegevensbeheer.

Verantwoordelijk voor: Business Continuity Manager, Incident Response Team, IT Operations Team

5. Communicatie

Financiële entiteiten moeten crisiscommunicatieplannen hebben om belangrijke ICT-gerelateerde incidenten op verantwoorde wijze bekend te maken aan klanten, tegenpartijen en het publiek. Ze moeten ook een intern en extern communicatiebeleid opstellen en ervoor zorgen dat tijdige en relevante informatie wordt doorgegeven aan personeel en belanghebbenden.

Verantwoordelijk voor: Crisiscommunicatieteam, PR-team, hoger management

6. Leren en evolueren

Een leercultuur is essentieel om ICT-risico's effectief te beheren. Financiële entiteiten moeten informatie verzamelen over kwetsbaarheden, cyberbedreigingen en -incidenten analyseren en evaluaties uitvoeren na een incident om verbeteringen aan te brengen.

Verantwoordelijk voor: Incident Response Team, Risk Management Team

7. Vereenvoudigd framework voor in aanmerking komende instanties

Bepaalde kleine en niet-onderling verbonden financiële instellingen zijn vrijgesteld van de uitgebreide DORA-eisen. In plaats daarvan volgen ze een vereenvoudigd framework voor ICT-risicobeheer dat is afgestemd op hun behoeften, waarbij de nadruk ligt op snel en efficiënt risicobeheer met behoud van systeembeveiliging en -veerkracht.

Conclusie

De DORA-verordening betekent een belangrijke stap voorwaarts in de beveiliging van het digitale landschap voor financiële entiteiten. Door een uitgebreid kader voor ICT-risicobeheer te implementeren, kunnen organisaties hun activiteiten veiligstellen, gevoelige gegevens beschermen en de continuïteit van kritieke functies waarborgen. Het vereenvoudigde kader voor in aanmerking komende entiteiten bevordert ook het aanpassingsvermogen en de veerkracht, zodat ze vol vertrouwen door het digitale rijk kunnen navigeren. Door samen te werken en voortdurend te leren, kan de financiële sector DORA omarmen als een katalysator voor sterkere digitale operationele veerkracht.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11