Cybercriminelen hebben financiële instellingen al sinds de opkomst van online bankieren en andere financiële transacties als doelwit. Dit is de reden voor de totstandkoming van de Digital Operational Resilience Act (DORA), een nieuwe EU-verordening die is ontworpen om financiële instellingen te helpen digitale bedreigingen af te weren.
Laten we eens bekijken wat DORA is, waarom het belangrijk is, wat het betekent voor banken en andere financiële bedrijven, en wat het voor u betekent.
Wat is DORA?
DORA is een belangrijk vangnet voor de financiële wereld zoals die in cyberspace bestaat. Het is officieel van start gegaan op 16 januari 2023. Tegen 17 januari 2025 moeten alle financiële instellingen in Europa, van grote banken tot beleggingsondernemingen, zich aan de nieuwe regels houden. Waarom is dit belangrijk? Denk eens aan hoeveel financiële transacties u tegenwoordig online uitvoert, van het beheren van bankrekeningen tot het handelen in aandelen. Naarmate ieders financiële activiteiten digitaler worden, worden ze ook doelwit voor cyberaanvallen en andere ongewenste incidenten. DORA is er om ervoor te zorgen dat deze financiële instellingen niet zomaar afwachten en hopen op het beste. In plaats daarvan moeten ze bewijzen dat ze sterk genoeg zijn om alle digitale uitdagingen aan te kunnen.
Waarom hebben we DORA nodig?
Deze wet lijkt in eerste instantie misschien een extra laag bureaucratie, maar in werkelijkheid is hij er om de financiën te beschermen. Hier zijn enkele manieren waarop het helpt.
Bestrijding van cyberdreigingen
Stel je een wereld voor waarin financiële instellingen forten zijn en cyberaanvallen de constante stroom pogingen vormen om hun muren te doorbreken. Met alle technologie die regelmatig wordt gebruikt in het bankwezen en de beleggingswereld, worden deze instellingen een belangrijk doelwit voor hackers. Wanneer er een cyberaanval plaatsvindt, wordt het als ongelooflijk veel geluk beschouwd als slechts één bank of bedrijf wordt getroffen. Het kan zich als een olievlek verspreiden en de toegang tot diensten voor alle betrokkenen beïnvloeden. Dat is waar DORA in beeld komt. Het is een verplicht trainingsprogramma dat ervoor zorgt dat de financiële bolwerken zijn uitgerust om zich te verdedigen tegen aanvallen en veerkrachtig genoeg zijn om te herstellen als het misgaat. Kortom, als er iets misgaat, wordt het hele systeem niet op de knieën gedwongen. Harmonisering van de regels Vóór DORA hanteerde elke EU-lidstaat zijn eigen regels met betrekking tot financiële regelgeving. Dat klinkt geweldig voor het nemen van autonome beslissingen, maar kan nogal lastig zijn bij grote multinationale organisaties en bedrijven die grensoverschrijdend zaken doen. En financiële organisaties doen dat in de meeste gevallen ook. Met de Digital Operational Resilience Act (DORA) gelden voor iedereen in de EU dezelfde regels. Uniformiteit vereenvoudigt het nalevingsproces voor financiële instellingen, zodat iedereen aan dezelfde strenge normen kan voldoen. Op die manier zorgt DORA voor een gelijk speelveld en maakt de spelregels glashelder, zodat alle financiële instellingen effectief en veilig hun rol kunnen spelen. De dienstverlening blijft gegarandeerd. De kern van DORA is een vrij eenvoudig doel: de financiële dienstverlening blijft gegarandeerd, wat er ook gebeurt. De financiële sector belooft dat klanten, weer of geen weer, probleemloos toegang hebben tot hun geld en hun financiële zaken kunnen regelen. Dit onderdeel van DORA richt zich op het creëren van een omgeving waarin diensten stabiel en betrouwbaar blijven, zelfs bij verstoringen – of het nu gaat om een cyberaanval, een technische storing, een catastrofale ramp (denk aan de pandemie) of iets anders dat roet in het eten kan gooien.
Wie moet zich hieraan houden?
Dit zijn de partijen die hun digitale activiteiten moeten beveiligen volgens deze nieuwe regelgeving:
- Banken – Dagelijkse instellingen waar u cheques verzilvert en geld spaart, moeten hun digitale beveiliging aanscherpen.
- Betaalinstellingen – Zij verwerken uw kaarttransacties en online betalingen. Met de constante stroom aan transacties is het vanzelfsprekend dat ze behoefte hebben aan eersteklas beveiliging.
- Beleggingsmaatschappijen – De bedrijven die namens u aandelen en obligaties beheren, zijn ook verplicht uw investeringen te beschermen tegen digitale bedreigingen.
- Verzekeringsmaatschappijen – Omdat ze met gevoelige gegevens werken, is het cruciaal dat ze goed voorbereid zijn op cyberincidenten.
- Aanbieders van cryptodiensten – Nu crypto de grote nieuwe trend is (door sommigen zelfs revolutionair genoemd), moeten deze platforms net zo veilig zijn als traditionele financiële dienstverleners, vooral gezien de volatiliteit en de technologische afhankelijkheid van de munteenheid.
- Kritieke IT-dienstverleners van derden – Denk aan clouddiensten en andere technologieleveranciers waar financiële bedrijven op vertrouwen. Ze bestaan om het hele systeem draaiende te houden, dus DORA zorgt ervoor dat ze ook hun deel van de veiligheidsafspraak nakomen.
Simpel gezegd: als u deel uitmaakt van het mechanisme dat geld in beweging houdt en gegevens beveiligt in de financiële sector van de EU, dan is DORA de wetgeving waar u zich van bewust moet zijn.
Belangrijkste onderdelen van DORA
Nu u weet wie DORA nodig heeft en waarom, laten we de belangrijkste onderdelen van de wet zelf eens bekijken.
ICT-risicobeheer
Risicobeheer van derden
Het gebruik van externe ICT-leveranciers, vooral in een gevoelige sector als financiën, kan soms voelen alsof je je huissleutels aan iemand anders overhandigt. Om dit risico te beheersen, schrijft DORA voor dat financiële instellingen deze derden moeten dwingen zich aan strenge beveiligingsnormen te houden. Als leveranciers niet aan deze eisen voldoen, of erger nog, weigeren, zijn er ernstige gevolgen en hoge boetes. Dit onderdeel van DORA zorgt ervoor dat iedereen die betrokken is bij de toeleveringsketen van financiële diensten – van de grote banken tot de softwarebedrijven die ze gebruiken – de zaken strak en veilig houdt.
Tests van digitale operationele veerkracht
Regelmatig testen onder DORA is vergelijkbaar met het uitvoeren van brandoefeningen of gesimuleerde rampenvoorbereidingen. Financiële instellingen moeten uitgebreide controles uitvoeren, zoals kwetsbaarheidsanalyses en scenario-gebaseerde tests, om te zien hoe hun systemen verschillende rampscenarioʼs zouden afhandelen. De test zou bijvoorbeeld een gesimuleerde ransomware-aanval kunnen creëren die alle systemen van de instelling zou kunnen blokkeren. Ze moeten ook geavanceerde, op dreigingen gebaseerde penetratietests uitvoeren, vergelijkbaar met het inhuren van iemand die inbreekt om te testen hoe effectief het beveiligingssysteem is. Experts op het gebied van penetratietesten staan wellicht bekend als ethische (of white-hat) hackers. Zij zijn degenen die in deze fase helpen. Wanneer organisaties deze tests uitvoeren, schakelen ze ethische hackers in om te controleren of hun systemen niet alleen theoretisch veilig zijn, maar ook bestand zijn tegen uitdagingen in de praktijk. Informatie delen: Hoewel het geen verplichting is, moedigt DORA financiële instellingen sterk aan om informatie over cyberdreigingen te delen. Zie het als buren die elkaar op de hoogte houden van verdachte activiteiten in de buurt. Door kennis over potentiële bedreigingen te delen, kan iedereen zijn verdediging versterken, wat leidt tot een sterkere en veerkrachtigere gemeenschap tegen cyberdreigingen. Samenwerking tussen verschillende organisaties en op verschillende niveaus is erop gericht de algehele beveiliging te verbeteren, waardoor het voor cybercriminelen moeilijker wordt om succesvol te zijn. Naleving en sancties: Er is een deadline van januari 2025 waarop alle financiële instellingen binnen de EU moeten voldoen aan de normen van DORA. De deadline lijkt misschien nog ver weg, maar komt snel dichterbij en het niet halen ervan kan ernstige gevolgen hebben. Als een bedrijf niet aan deze eisen voldoet, krijgt het niet alleen een waarschuwing. Het kan te maken krijgen met forse boetes, en voor cruciale ICT-aanbieders gaat het niet om eenmalige kosten; Het kunnen dagelijkse boetes worden totdat ze hun systemen op orde hebben en aan de normen voldoen.
Meer regels met goede redenen
DORA is een radicale transformatie in de manier waarop de financiële sector van de lidstaten van de Europese Unie omgaat met digitale beveiliging. Het betekent in feite een herziening van een oud, onsamenhangend beveiligingssysteem binnen de financiële IT met iets dat voldoet aan, of zelfs overtreft, de moderne dreigingen. Door één regelboek voor iedereen op te stellen, vereenvoudigt DORA wat voorheen een verwarrende lappendeken van nationale regelgeving was. Nu weet iedereen precies wat de normen zijn, wat helpt bij het creëren van een samenhangend beveiligingsnetwerk.
DORA richt zich echter niet alleen op regels, maar ook op het versterken van deze instellingen van binnenuit. Door middel van gedegen risicobeheer, rigoureuze incidentrapportage, zorgvuldige controle op externe dienstverleners en regelmatige, uiterst strenge tests, streeft DORA ernaar de financiële sector van de EU te versterken.
