Cyberwet EU zet vier pijlers in beweging bij financiële bedrijven

Begin dit jaar moesten alle financiële ondernemingen die onder DORA vallen (Digital Operational Resilience Act), voldoen aan de vereisten in de verordening en de nadere regelgeving. DORA is een EU-verordening voor digitale weerbaarheid van financiële instellingen tegen cyberdreigingen.

De afgelopen zes maanden zijn bedrijven in de financiële sector overgegaan van voorbereiding naar daadwerkelijke integratie van DORA in hun dagelijkse processen.

Filip Verloy, als Field CTO EMEA verbonden aan cybersecuritybedrijf Rubrik, heeft op Banken.nl de stand van zaken geïnventariseerd. Hij brengt daarbij de vier pijlers in kaart waar het omdraait bij DORA.

1. ICT-risicobeheer: De eerste maanden stonden vooral in het teken van het verstevigen van ICT-risicomanagement. Organisaties brachten hun kritieke ICT-assets in kaart, identificeerden kwetsbaarheden en stelden duidelijke risicoprofielen op.
2. Incidentenrapportage: Organisaties staan nu voor de uitdaging om te voldoen aan strenge eisen voor het classificeren, melden en gedetailleerd rapporteren van grote ICT-incidenten aan toezichthouders binnen strakke deadlines. Dit vraagt om verfijnde interne processen, betere monitoringtools en duidelijke communicatiekanalen.
3. Testen van digitale operationele weerbaarheid: Filip Verloy noemt dit op Banken.nl de meest uitdagende pijler, en met name door de zeer specifieke Threat-Led Penetration Testing (TLPT). Waar veel organisaties zich al hadden voorbereid op deze tests, zijn de eerste maanden na de livegang vooral gebruikt voor het uitvoeren van complexe, realistische simulaties die echte cyberaanvallen precies nabootsen. Het gaat daarbij niet alleen om het opsporen van kwetsbaarheden, maar vooral ook om te bewijzen dat de organisatie stevige verstoringen kan weerstaan en snel kan herstellen.
4. Risicomanagement met derden: DORA verplicht financiële instellingen om het hele proces van hun samenwerking met belangrijke ICT-leveranciers scherp in de gaten te houden. Veel organisaties herzien hun hele leveranciersbestand, brengen kritieke afhankelijkheden in kaart en spreiden soms hun leveranciers om concentratierisico’s te verkleinen. Financiële bedrijven eisen van ICT-leveranciers meer transparantie en zekerheid dan ooit.