Voor iedereen die het zich nog niet bewust is: De uitvoering van de nieuwe wet DORA is omvangrijk. Heel omvangrijk. Maar waarom dan?
Wat is de Digital Operational Resilience Act (DORA)?
De Digital Operational Resilience Act, oftewel DORA, is een nieuwe Europese wet die ervoor moet zorgen dat bedrijven die afhankelijk zijn van digitale systemen en technologieën, zoals banken, online platforms en andere financiële instellingen, beter voorbereid zijn op mogelijke problemen en aanvallen op hun systemen. Niemand wil dat de pinautomaten een uurtje op storing staan, je een dagje geen ‘tikkies’ kan sturen, of dat je een weekje moet wachten om je banksaldo te kunnen bekijken. De nieuwe Europese wetgeving verplicht bedrijven om voorzorgsmaatregelen te nemen en actieplannen te maken.
DORA is lastiger dan het klinkt.
Het lastige aan DORA is dat bedrijven verplicht worden om allerlei acties uit te voeren, maar dat er geen duidelijke voorschriften, regels of restricties zijn over wát er precies gedaan moet worden en wat er niet (meer) mag. Ieder bedrijf heeft andere digitale systemen, andere structuren, andere verantwoordelijkheden. En dus moet iedereen deze wet naar eigen inzicht navolgen en zelf gaan uitzoeken wat er gedaan moet worden, en hoe dit gedaan moet worden. Gelukkig zijn de hiervoor te nemen stappen wel algemeen toepasbaar. Dus leggen we stap voor stap uit hoe een DORA implementatieproject bij de meeste bedrijven er uit zal zien. En dan wordt duidelijk waarom de uitvoering van DORA héél veel werk kost.
Stap 1: Beoordeling van alle digitale systemen
Alle digitale systemen zoals software, hardware, maar ook beveiligingsapparatuur, toegangssystemen, (mobiele) telefoons en andere systemen moeten grondig in kaart worden gebracht. Van al deze systemen moet worden bepaald hoe belangrijk ze zijn voor de vitale processen, waar zwakke punten liggen, wie de beveiliging regelt en wat daarvoor nodig is. Als er webapplicaties gebruikt worden waarbij de data door een ander bedrijf beheerd wordt, dan moet dit ook in kaart gebracht worden en moet deze leverancier in detail antwoord geven op vragen over beveiliging.
Deze inventarisatie alleen al is een project op zich. Het hele bedrijf moet doorgelicht worden, en alles moet tot op detail in kaart gebracht worden.
Stap 2: Risicoanalyse en Risicomanagement
Als de inventarisatie compleet is, moet er een gedetailleerde risicoanalyse uitgevoerd worden om te bepalen wat de mogelijke digitale risico’s zijn waardoor de bedrijfsvoering in gevaar zou kunnen komen. En dat betekent ook echt àlle risico’s, van eenvoudige tot vergezochte problemen, met daarbij de kans van waarschijnlijkheid dat dit ooit gaat gebeuren, de gevolgen die elk risico mogelijkerwijs kan hebben en wat de schade dan zal zijn.
De meest voor de hand liggende risico’s zijn cyberaanvallen en hacking. Maar ook een onopgemerkte fout in een nieuwe softwareversie kan digitale verstoringen opleveren. Of een harddisk die stuk gaat, een serverruimte die uitbrandt en zelfs een eenvoudige stroomstoring.
Op basis van de risicoanalyse moet een risicobeheerplan opgesteld worden, waarbij rekening gehouden wordt met allerlei soorten incidenten en waarbij bepaald wordt hoe deze incidenten voorkomen kunnen worden en als ze toch voorkomen, hoe deze afgehandeld moeten worden om zo min mogelijk schade op te lopen. Deze stap is zo mogelijk nog lastiger dan de eerste.
Stap 3: Implementatie van beveiligingsmaatregelen
Het helpt niet om een perfect plan op papier te hebben, de maatregelen om incidenten te voorkomen moeten uitgevoerd worden! Er moeten stappen gezet worden om de beveiliging van de digitale systemen te verbeteren. Dit betekent onder het andere het inzetten van nieuwe software, het bijwerken van bestaande software en het versterken van de netwerkbeveiliging. Maar het zou ook de aanleg van een noodstroomvoorziening kunnen zijn of een data uitwijksysteem waarmee bij een serverstoring naadloos overgestapt kan worden naar een ander datacenter. Ieder bedrijf zal op basis van de stappen 1 en 2 zijn eigen beveiligingsmaatregelen moeten bepalen en moeten invoeren.
Stap 4: Training en bewustwording
De hele wetgeving valt en staat met de houding van de medewerkers. Digitale systemen worden gebruikt door medewerkers en als zij zich niet bewust zijn van de beveiligingsrisico’s en wat de gevolgen kunnen zijn als zij zich niet houden aan de beveiligingsmaatregelen, dan faalt het beveiligingsbeleid. Het is dus ontzettend belangrijk dat alle medewerkers goed op de hoogte zijn de maatregelen op het gebied van digitale veiligheid. Daarvoor zullen trainingen georganiseerd worden en zullen bewustwordingscampagnes opgezet worden.
Stap 5: Testen en oefeningen
Als alle maatregelen doorgevoerd zijn en de medewerkers in theorie weten aan welke veiligheidsregels en maatregelen zij zich moeten houden, zullen regelmatige testen en oefeningen uitgevoerd moeten worden om te zien of de maatregelen goed werken, welke gaten er nog ontstaan en of iedereen weet wat hij of zij moet doen. De oefeningen hebben ook tot doel om de bewustwording te vergroten en niet te laten verslappen. Sommige bedrijven huren hiervoor ‘ethische hackers’ in, die in opdracht proberen om bij een bedrijf ‘binnen’ te komen. Niet om schade aan te richten, maar om te kijken hoe lang het duurt voordat iemand binnen kan komen, en tot waar diegene kan komen in de systemen. Deze informatie kan vervolgens gebruikt worden om de systemen beter te beveiligen.
Stap 6: Compliance monitoring
Als het hele DORA implementatieproject uitgevoerd is, zijn we niet klaar. De wetgeving moet onderdeel worden van het dagelijkse proces. Iedere wijziging in de digitale systemen zal opnieuw een inventarisatie en risicoanalyse moeten ondergaan.
Conclusie:
Het komt er dus op neer dat voor de DORA wetgeving, de hele organisatie doorgelicht moet worden. Er moet bepaald worden wat de belangrijke systemen zijn, hoe deze beschermd kunnen worden en wat er gedaan moet worden om de digitale veiligheid te vergroten. De bedachte maatregelen moeten ook echt doorgevoerd worden, medewerkers moeten getraind worden en dit alles moet onderdeel worden van het normale bedrijfsproces.
En… dit moet allemaal klaar zijn in januari 2025! Het is (nog) geen reden voor paniek, maar er is wel werk aan de winkel! En daarom zullen alle medewerkers van bedrijven in de financiële sector dit jaar te maken krijgen met de uitvoering van de DORA wetgeving.
Comments