Michel Klompmaker
De Digital Operational Resilience Act (DORA) ging vorig jaar van kracht. We spraken erover met inhoudelijk expert Jakub Lewandowski, legal director en global data governance officer bij Commvault.
Wat bewoog de EU eigenlijk om DORA te introduceren?
Jakub Lewandowski: “In 2020 vond er in de Verenigde Staten een grootschalige cyberaanval plaats: de beruchte Solar Wind-hack. Cybercriminelen hackten een softwareleverancier en kregen daarmee toegang tot meer dan 30.000 organisaties, waaronder Amerikaanse overheidsinstellingen. De nasleep van dit catastrofale voorval en diverse andere prominente incidenten toonde aan hoe kwetsbaar de ICT-infrastructuur van vitale onderdelen van onze samenleving is. De introductie van de Digital Operational Resilience Act (DORA) in 2023 laat zien dat het beheer van cyberrisico’s is uitgegroeid tot een kritiek probleem voor de financiële sector. Daarnaast had de regelgeving voor de financiële sector in de EU historisch gezien altijd een sterk gefragmenteerd karakter. De regels van DORA zijn opgesteld met het doel om de operationele veerkracht van financiële instellingen te harmoniseren en gelijk te trekken. Alle lidstaten kijken op die manier door dezelfde lens naar operationele veerkracht. Dat is wat DORA zo speciaal maakt.”
Wat behelst de DORA-wetgeving?
Jakub Lewandowski: “DORA omvat vier kerngebieden. De eerste draait om incidentrapportage en de zichtbaarheid van degene die hier binnen de organisatie op toeziet. De tweede draait om operationele veerkracht. Welke maatregelen treft de organisatie op dit gebied, en hoe blijft de ICT-omgeving veerkrachtig? Het derde gebied is heel belangrijk en houdt verband met het beheer van ICT-risico’s vanuit toeleveranciers. Dit is een nieuwe dimensie binnen de wetgeving voor cybersecurity die werd toegevoegd als reactie op het Solar Wind-incident. Het is iets waar de huidige richtlijnen tot dusver niet op zijn ingegaan. Het vierde gebied gaat over de uitwisseling van informatie over cyberbedreigingen en kwetsbaarheden. Dit is nodig om ervoor te zorgen dat de financiële sector in zijn geheel veerkrachtiger wordt.”
Wat gebeurt er als financiële instellingen in strijd met DORA handelen?
Jakub Lewandowski: “DORA is direct toepasbaar en legt strenge eisen op aan de digitale weerbaarheid van financiële instellingen. Niet-naleving kan resulteren in strafrechtelijke sancties of bestuurlijke boetes. Organisaties die in de financiële sector in de EU willen opereren moeten aan deze richtlijn voldoen. Financiële instellingen moeten bijvoorbeeld in staat zijn om aan te tonen dat hun ICT-leveranciers voldoen aan de eisen van DORA en dat ze in staat zijn om hun data en bedrijfsprocessen na een beveiligingsincident te herstellen. Het is lidstaten momenteel toegestaan om de exacte strafrechtelijke en bestuurlijke en civielrechtelijke boetes te bepalen. De hoogte daarvan kan dus per markt verschillen. Hoe de handhaving precies in zijn werk gaat is op dit moment nog niet duidelijk.”
In 2025 moeten financiële organisaties aan alle eisen van DORA voldoen. Wat zijn momenteel de meest prangende vragen die bij financiële instellingen leven?
Jakub Lewandowski: “Financiële instellingen worstelen met een breed scala aan vragen, dus ik zal een paar voorbeelden geven. Aan welke eisen voor digitale weerbaarheid moeten zij voldoen? En hoe zorgen ze voor overeenstemming met deze eisen? Welke ICT-leveranciers kunnen hen daarvoor ondersteuning bieden? Wie is verantwoordelijk voor de naleving van deze wetgeving binnen de organisatie? Is dat de afdeling Risk & Compliance, het security-team, de CIO, de voltallige Raad van Bestuur of een combinatie daarvan? Alle nervositeit rond de toepassing van DORA is het gevolg van onzekerheid over de details van de wetgeving. De deadline voor overeenstemming met DORA is al aangekondigd, maar bepaalde secundaire documenten voor de Regulatory Technical Standard (RTS) die bepaalde aspecten van DORA nader toelichten zijn nog niet voltooid. Naar alle waarschijnlijkheid kunnen we de definitieve teksten rond juli verwachten. En pas dan weten we wat er precies van bedrijven wordt verwacht. Vervolgens hebben zij minder dan zes maanden de tijd om aan de die verwachtingen te voldoen. Een snelle implementatie kan lastig zijn, en daarom is een goede voorbereiding van ontzettend belangrijk.”
Welk advies heeft u voor organisaties die momenteel met deze prangende vragen worstelen?
Jakub Lewandowski: “Aangezien de RTS nog niet definitief is, is het moeilijk om nu concrete antwoorden op deze vragen te geven. Ik verwacht dat er voornamelijk problemen zullen optreden als gevolg van gebrekkige samenwerking tussen teams, een onvoldoende begrip van het beheer van ICT-risico’s van derden en een inadequate evaluatie van lacunes tussen de status quo en de eisen van DORA. DORA vraagt om samenwerking binnen en tussen teams binnen een organisatie. De wetgeving zal immers van invloed zijn op verschillende afdelingen. Dat geldt met name voor de afdeling van de CIO en CISO en Compliance. Organisaties zullen alleen kunnen voldoen aan een aantal van deze eisen die DORA oplegt als alle teams waarop die van toepassing zijn bijeenkomen en op coherente en uitgebreide wijze nadenken over de operationele veerkracht van hun organisatie. Afdelingsoverstijgende teams en de steun van het management zijn daarvoor onmisbaar. Ik verwacht verder dat er problemen zullen optreden met de verplichte rapportage over ICT-risico’s van toeleveranciers. Zelfs de meest volwassen organisaties hebben er moeite mee om hun toevoerketen volledig te doorgronden. Met de komst van DORA kan dat een probleem worden. Het is daarom belangrijk voor organisaties om van start te gaan met het analyseren van hun Supply Chain en duidelijkheid te verkrijgen over de bijkomende risico’s. DORA draait niet alleen om cybersecurity. De wetgeving richt zich voornamelijk op bedrijfscontinuïteit en operationele veerkracht. Zij laat zien hoe effectieve bescherming van ICT-systemen eruitziet door het definiëren en afdwingen van mechanismen voor preventie, detectie, incidentrespons en herstel. DORA vraagt organisaties daarnaast om beleidsregels en procedures voor back-ups en herstel te ontwikkelen en te documenteren. En ten slotte zullen organisaties hun inspanningen op het gebied van risicobeheer moeten opvoeren.”
Samenvattend is er de komende tijd dus volop werk te doen voor de experts
Jakub Lewandowski: “Er valt zeker een hoop werk te verrichten, en DORA zal in de komende periode voor veel controverse zorgen. Een tip voor organisaties die bezig zijn met de implementatie van DORA: stel je open voor de hulp van experts en ga in gesprek met ICT-leveranciers. Kies voor leveranciers met een gedegen begrip van de veranderingen die er zitten aan te komen. Op die manier kun je ervoor zorgen dat je teams efficiënt te werk gaan en dat je aannames en doelstellingen op het gebied van operationele veerkracht realistisch en haalbaar blijven.”
