Er komt nieuwe wetgeving aan die de cyberweerbaarheid van financiële instellingen in de Europese Unie (EU) verder moet versterken: de Digital Operational Resilience Act, oftewel DORA. Deze wetgeving is samen met initiatieven zoals de Cyber Resilience Act (CRA) en de Network and Information Security Directive (NIS2), erop gericht om organisaties te dwingen meer aantoonbare controle op het gebied van cybersecurity uit te oefenen. DORA treedt op 17 januari 2025 in werking en bedrijven die hieronder vallen (spoiler: niet alleen financiële instellingen) doen er verstandig aan om nu al actie te ondernemen.
Met nog minder dan een jaar te gaan voor de implementatie-deadline van DORA, hebben financiële instellingen, die doorgaans al aan veel security-wetgeving moeten voldoen, extra huiswerk. Halverwege dit jaar wordt de tweede versie van DORA gepubliceerd en wordt er meer bekend over de exacte eisen. Financiële instellingen en andere betrokken partijen doen er verstandig aan om dit nauwlettend te volgen, zodat ze zich kunnen voorbereiden op naleving.
Niet alleen voor banken
De impact van DORA reikt ver en raakt een breed scala aan organisaties binnen de financiële sector. Niet alleen traditionele banken, verzekeringsmaatschappijen, pensioen- en investeringsfondsen vallen namelijk onder de regelgeving, maar ook opkomende spelers zoals crypto exchanges en crowdfunding-dienstverleners. Daarnaast moeten ook derde partijen die diensten leveren aan financiële instellingen voldoen aan voorschriften onder DORA. Denk hierbij aan IT-dienstverleners, SAAS-providers en applicatie-ontwikkelaars. Deze bedrijven dienen aantoonbaar te voldoen aan eisen, waaronder het hebben en actief onderhouden van beveiligingsbeleid, het up-to-date houden van de security van systemen, en het in kaart hebben van hun IT-, applicatie- en datalandschap.
Daarnaast moeten zij de effectiviteit van hun security periodiek (laten) testen. Grote financiële instellingen zoals grote banken, grote verzekeraars en institutionele beleggers zoals pensioenfondsen zijn al gewend om zowel intern als extern verantwoording af te leggen over beveiligingskwesties. Ze moeten waarschijnlijk vooral hun rapportageprocedures aanpassen. Bovendien zullen deze instellingen, gezien het boetebeding, meer verplichting voelen om te voldoen aan de nieuwe wetgevingseisen. Voor middelgrote en kleinere financiële instellingen wordt verwacht dat zij een inhaalslag zullen moeten maken om duidelijk aan te tonen dat zij aan de vereisten van DORA voldoen.
Belangrijkste eisen en veranderingen onder DORA
Een belangrijke eis onder DORA is de implementatie van een risicoraamwerk. Dit raamwerk moet duidelijkheid geven over de securityrisico’s waaraan de organisatie wordt blootgesteld en welke passende maatregelen worden genomen.
Bestuur en management moet zich actief laten informeren over de veranderende tactieken van cybercriminelen en de specifieke bedreigingen die relevant zijn voor het bedrijf. DORA-plichtige organisaties moeten beschikken over een ‘thread intel feed’ zodat zij op een gestructureerde wijze informatie over de dreigingen ontvangen en erop kunnen anticiperen. Voor grotere banken en verzekeraars is het vaak vanzelfsprekend om een toegewijd team te hebben dat zich bezighoudt met het verzamelen en analyseren van dreigingsinformatie. Voor kleinere organisaties kan het echter nodig zijn om deze informatie extern in te kopen, waarbij Managed Detection & Response (MDR) dienstverleners een waardevolle rol kunnen spelen door het delen en interpreteren van dreigingsinformatie.
Deze risicoraamwerk-benadering zien we vaker terug als onderdeel van nieuwe Europese wetgeving en markeert een positieve trend. In plaats van slechts voorschrijven aan welke specifieke maatregelen moet worden voldaan, leggen de regels nu de nadruk op een grondige risicoanalyse als eerste stap. Deze ontwikkeling bevordert een meer doordachte aanpak van cybersecurity, waarbij maatregelen worden genomen op basis van een goed onderbouwd begrip van het risicolandschap van een organisatie.
Business continuity management
Een ander belangrijke verandering onder DORA is het moeten hebben van een robuust business continuity plan. Dit plan moet in detail beschrijven hoe het bedrijf zal reageren op incidenten, welke systemen cruciaal zijn voor de bedrijfsvoering, wat de herstelplannen zijn en welke afspraken er zijn met leveranciers over de continuïteit van hun dienstverlening. Cruciaal is dat dit plan regelmatig in de praktijk wordt geoefend, zoals voorgeschreven vanuit DORA. In de praktijk blijkt namelijk vaak dat er veel geregeld moet worden. Hierbij is het essentieel om ook te denken aan communicatieprotocollen, zoals het verzamelen van alternatieve contactgegevens voor het geval e-mail niet beschikbaar is, en het identificeren van vervangende verantwoordelijken voor het geval van afwezigheid van sleutelpersonen. Ook hier geldt dat grotere financials vaak al veel hebben geregeld om hun continuïteit te waarborgen, maar dat dit voor middelgrote en kleinere financials behoorlijk wat extra werk op zal leveren.
Effectieve detectiemechanismen
Ook vereist DORA dat er effectieve detectiemechanismen ingeregeld zijn binnen de IT-omgevingen van financiële instellingen. Dit betekent actieve monitoring om mogelijke incidenten tijdig te signaleren. Veel grotere instellingen beschikken over een eigen Security Operations Center of over een gecontracteerde derde partij, verantwoordelijk voor monitoring, detectie en respons. Voor partijen die nog niet beschikken over eigen of ingehuurde detectiecapaciteit, moet er versneld eigen capaciteit worden ingericht of uitbesteed.
Meld- en testplicht
Een andere verandering onder DORA-wetgeving is de meldplicht in geval van incidenten. Hoewel de exacte tijdlijnen nog moeten worden vastgesteld, zijn de vereisten duidelijk: een initiële melding bij een incident, gevolgd door tussenliggende rapportage bij veranderingen, en uiteindelijk een gedetailleerd rapport met de grondoorzaken, genomen mitigatiemaatregelen en een analyse van de impact.
Naast de meldplicht legt DORA ook strikte eisen op voor security testen, in het bijzonder aanvalssimulaties. Financiële instellingen moeten deze minstens jaarlijks laten uitvoeren door een onafhankelijk intern of extern team. Elke drie jaar moet bovendien een meer geavanceerde test worden uitgevoerd, gebaseerd op actuele threat intelligence. Een voorbeeld van zo’n test is TIBER (Threat Intelligence Based Ethical Redteaming), gebaseerd op het testkader van De Nederlandsche Bank, geïnspireerd op de oorspronkelijk Britse methode, die nu ook een EU-variant heeft (TIBER.EU). Deze testen zijn bedoeld om aanvallen van meer geavanceerder actoren op een zo’n realistisch mogelijk manier te simuleren, voornamelijk om zo de effectiviteit van de verdedigingsmechanismen te kunnen testen. Dit type test mag alleen worden uitgevoerd door gecertificeerde teams, die aantoonbaar veel ervaring hebben met realistische aanvalssimulaties.
Naleving
In het verlengde van de meldplicht, geldt ook de sanctiemogelijkheid als belangrijke verandering. Het niet naleven van de Digital Operational Resilience Act kan aanzienlijke consequenties met zich meebrengen in de vorm van boetes. Deze boetes kunnen oplopen tot 2% van de wereldwijde omzet, met een maximum van een miljoen euro voor individuen. Voor ICT-serviceproviders kunnen de sancties oplopen tot vijf miljoen euro, met een mogelijkheid van een half miljoen voor individuen die verantwoordelijk worden gehouden voor het niet naleven van de wetgeving. Deze financiële sancties benadrukken het belang van tijdige en grondige naleving van de DORA-regelgeving om de operationele veerkracht en cybersecurity van financiële instellingen en ICT-serviceproviders te waarborgen.
Aan de slag met DORA
DORA heeft veel impact op organisaties binnen de financiële sector en daarbuiten. Hoewel grote banken en verzekeraars al grotendeels aan vergelijkbare vereisten voldoen, zullen kleinere instellingen zoals crypto exchanges en ICT-dienstverleners significant meer inspanningen moeten leveren om aan de nieuwe normen te voldoen. Dit omvat ook third parties, die nu ook onder de verplichte compliance vallen. DORA gaat dieper dan de NIS2-richtlijn, met specifieke en uniforme tests, waardoor een grondige en aantoonbare aanpak van cybersecurity noodzakelijk is.
Voor middelgrote en kleinere financials betekent dit dat er veel werk aan de winkel is. Het implementeren van een effectieve strategie vereist tijd en toewijding, waarbij het bestuur en management een cruciale rol speelt en actief verantwoording af moet leggen over de mate waarin wordt voldaan aan de eisen onder DORA. Het waarborgen van security moet zijn gestoeld op risicomanagement-aanpak, men moet kunnen terugvallen op een eigen of extern Security Operations Center, op actuele dreigingen kunnen monitoren en anticiperen en de voorbereiding op incidenten dient met gerichte continuïteitsmaatregelen en effectiviteitstests te worden ondersteund. Dit alles om in staat te zijn om incidenten tijdig waar te kunnen nemen en melden, en om eventuele boetes als gevolg van niet naleving te voorkomen.
Dit is een ingezonden bijdrage van Computest Security. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.