Verordening DORA, een opfrisser
25 maart 2024 om 09:58
Nog minder dan één jaar te gaan en dan moeten ondernemingen voldoen aan de DORA-vereisten. Veel organisaties zitten met hun handen in het haar. Waar moeten we beginnen en wat kunnen wij alvast doen zijn de vragen die voornamelijk heersen. Wij brengen u graag op de hoogte.
Terugblik op DORA
DORA is een Europese verordening die al sinds januari 2023 van kracht is. Het doel van de verordening is om financiële organisaties weerbaar te laten worden tegen cyberbedreigingen. De laatste jaren zijn de digitale ketens namelijk groter geworden, is de connectiviteit tussen instellingen en derde partijen gegroeid en is het potentiële aanvalsoppervlak van instellingen toegenomen. Kortom de cyberrisico’s nemen toe en financiële instellingen moeten zich hiertegen kunnen beschermen.
Waar kunnen organisaties mee beginnen?
Het is voor financiële onderneming van belang om nu al een start te maken met de implementatie van DORA om op 17 januari 2025 te voldoen aan de DORA-vereisten. Waar kunt u onder andere mee beginnen?
Ondernemingen kun nu al beginnen met het opstellen van een governance and control framework, zodat zij een controlecyclus inrichten en er continu kan worden geëvalueerd. Een belangrijk onderdeel hierbij is dat ondernemingen de benodigde rollen op het gebied van IT-beheersing toewijzen aan mensen. Hierbij valt te denken aan een onafhankelijke functie voor de beheersing van ICT-risico’s. Als aanvulling hierop moeten ondernemingen awareness-programma's op het gebied van ICT opstellen die in lijn zijn met het takenpakket van de medewerkers.
Verder kunnen ondernemingen nu ook al starten met het inrichten van een proces dat ziet op het detecteren en afhandelen van ICT-incidenten en cyberbedreigingen. Als een ICT-incident plaatsvindt, moet worden onderzocht wat de verstoring heeft veroorzaakt en welke verbeteringen moeten worden doorgevoerd om herhaling van de verstoring te voorkomen. Als zich een incident heeft voorgedaan, moeten ondernemingen deze incidenten opnemen in een register.
Een andere eis die DORA stelt, is dat ondernemingen moeten beschikken over een Business Continuity Management (BCM). De BCM moet voldoen aan een aantal vereisten. Dit zijn onder andere het inzichtelijk maken van het ICT-landschap van een onderneming, de beveiliging en werking van ICT-systemen controleren, het opstellen, uitvoeren en periodiek testen van een ICT-bedrijfscontinuïteitsplan en ICT-beveiligingsinstrumenten, - beleidslijnen en procedures inzetten om de weerbaarheid en continuïteit van ICT-systemen te waarborgen.
Verder kunnen ondernemingen starten met de inrichting van monitoring, behandeling en follow up van afwijkende activiteiten, inclusief de inrichting van back-ups, moeten ondernemingen een risicogericht programma ontwikkelen voor het testen en het verhogen van de digitale weerbaarheid, zullen ondernemingen een strategie moeten ontwikkelen voor IT-uitbesteding en moet Third Party risk worden opgenomen in het ICT-riskmanagement.
Wat kunt u doen?
U kunt starten met het opstellen van een risico-inventarisatie en een bedrijfscontinuïteitsplan. Hierdoor kunt al gedeeltelijk voldoen aan de vereisten van DORA.
Wat kan SVC voor u doen?
SVC heeft een Privacy- en informatiebeveiligingsaudit . De audit heeft tot doel om inzage te geven in de beheersing die er, op dit moment van een financieel dienstverlener wordt verwacht. In dit normenkader besteden wij aandacht aan verschillende onderwerpen die vanuit DORA een vereiste zijn. Hierbij kunt u denken aan governance, het identificeren van dreigingen en het beoordelen van risico’s, uitbesteding en nog veel meer.
Verder adviseren wij u om te starten met een ISO27001-certificering. Het beschikken over een ISO27001-certificering is een goede manier om te starten met de implementatie van DORA. SVC heeft de nodige ervaring in het begeleiden van ondernemingen om een ISO27001-certificering te behalen.
Wilt u weten waar uw onderneming staat met betrekking tot privacy- en informatiebeveiliging en in hoeverre u voldoet aan de DORA-vereisten of wilt u graag begeleiding krijgen bij het behalen van een ISO27001-certificering? Neem dan gerust contact met ons op.