DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen. DORA richt zich op het uniformeren van regels over de beveiliging van informatietechnologie en stelt uniforme eisen aan de beveiliging van informatietechnologie van ondernemingen die actief zijn in de financiële sector.. De verordening geldt niet voor accountantskantoren, maar is voor IT-auditors wél van belang.
De Autoriteit Financiële Markten (AFM) heeft op basis van eerdere uitvragen rondom IT-beheersmaatregelen gekeken naar hoe financiële dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen zichzelf scoorden en heeft dit vertaald naar tien belangrijke DORA thema’s. Organisaties kunnen deze bevindingen, in combinatie met de checklist die de AFM heeft ontwikkeld, gebruiken om hun voorbereiding op DORA te evalueren.
Beheersmaatregelen
De AFM heeft een koppeling gemaakt tussen de scores voor beheersmaatregelen en tien belangrijke thema’s uit DORA. Deze koppeling is een eigen interpretatie van de toezichthouder en omvat niet alle vereisten uit DORA. De scores laten zien dat de beheersmaatregelen vaak niet op voldoende niveau waren en dat er nog aanzienlijk werk verzet moet worden voordat DORA van toepassing wordt in januari 2025.
Verbetering nodig
Voor ICT-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit geldt voor 81% van de financiële dienstverleners, 58% van de kapitaalmarktpartijen en 42% van de beleggingsondernemingen. Ook zijn bij verschillende ondernemingen verbeteringen nodig van de governance rondom ICT-risicobeheer, de ICT-asset inventaris en het risicobeheer van derde aanbieders. De meeste organisaties scoorden voldoende op de inrichting van back-up en herstelmogelijkheden, maar DORA stelt hiervoor aanvullende en gedetailleerde vereisten.
DORA-checklist
De DORA-checklist van de AFM kunnen ondernemingen als startpunt gebruiken om op een aantal punten helder te krijgen wat er qua beleid en procedures nog nodig is om te voldoen aan de vereisten uit DORA. Vanwege de omvang van DORA is de checklist niet volledig. De volledige vereisten zijn opgenomen in de verordening en bijbehorende RTS en ITS.
DORA bevat vereisten voor een groot scala aan onderwerpen. Deze zijn opgedeeld in de volgende vijf thema’s:
- ICT-risicobeheer: van ondernemingen wordt onder andere verwacht dat ze over een raamwerk beschikken voor ICT-risicobeheer waarmee risico’s worden gedetecteerd en gemitigeerd, en dat dit risicobeheer op gepaste wijze wordt vastgelegd. Ook dienen ondernemingen een jaarlijkse risicobeoordeling uit te voeren en de bedrijfscontinuïteit procesmatig in te richten. Het raamwerk moet worden ontwikkeld op basis van de geïnventariseerde IT-assets. Onder dit thema valt ook back-up en recovery, herstel na IT-incidenten, en de inrichting van IT-governance en -organisatie. Als onderdeel van dit laatste punt wordt IT-kennis van bestuurders een integraal onderdeel van personentoetsingen. Dit is een bestaand proces waarbij personen die het beleid van een onderneming (mede) bepalen bij aantreden getoetst worden op betrouwbaarheid en/of geschiktheid.
- ICT-gerelateerde incidenten: van ondernemingen wordt verwacht dat ze incidenten en significante cyberdreigingen procesmatig beheren, classificeren en afhandelen. Ook wordt onder andere voorgeschreven dat toezichthouders actief moeten worden geïnformeerd over de afhandeling van kritieke IT-incidenten.
- Testen van digitale weerbaarheid: ondernemingen moeten over een programma beschikken voor het testen van hun digitale weerbaarheid. Onderdeel hiervan is het risicogebaseerd uitvoeren van tests op IT-systemen die cruciale of belangrijke functies ondersteunen en het opvolgen van eventuele bevindingen. Denk hierbij aan vulnerability scans, penetratietesten en controles op de fysieke beveiliging van de IT-assets. Hierbij kan gebruik worden gemaakt van interne testers (mits deze voldoen aan de vereisten omtrent objectiviteit en het voorkomen van ongepaste beïnvloeding), of kan externe expertise worden ingeschakeld. Voor ondernemingen van significante omvang worden geavanceerde tests (zoals TIBER1) voorgeschreven.
- Beheer van ICT-risico’s van derde aanbieders: binnen dit onderwerp worden de vereisten beschreven voor de beheersing van IT-uitbestedingen, zoals het uitvoeren van risicomanagement en het opnemen van bepaalde contractuele bepalingen (zoals ter ondersteuning van de exit-strategie). Daarnaast zullen aanbieders van IT-diensten die cruciaal zijn voor de Europese financiële sector worden onderworpen aan een Europees toezichtkader. Onder ‘derde aanbieders’ worden onder andere verleners van cloudcomputing-, software- en datacentrumdiensten verstaan.
- Informatie-uitwisseling over cyberdreigingen en kwetsbaarheden: de verordening beschrijft op welke wijze en onder welke voorwaarden informatie over cyberdreigingen tussen ondernemingen kan worden uitgewisseld.
IT-auditors kunnen een belangrijke rol spelen in de voorbereidingen op deze nieuwe verordening. Lees dit artikel voor meer informatie.
Geef een reactie