Toegeschreven aan Sean Tilley, EMEA Senior Director of Sales bij 11:11 Systems
Het is geen geheim dat de financiële sector een serieus doelwit is voor cybercriminelen, waardoor er strengere regelgeving nodig is om deze instellingen en hun werknemers- en klantgegevens te helpen beschermen.
Uit recent onderzoek van Security Scorecard blijkt dat in 2023 78% van de Europese financiële instellingen te maken had met een gegevensschending waarbij een derde partij betrokken was. Daarnaast is 84% van de financiële organisaties getroffen door een inbreuk waarbij een vierde partij betrokken was. Daarom willen toezichthouders en autoriteiten de verdediging van financiële instellingen tegen cyberaanvallen en andere incidenten op het gebied van informatie- en communicatietechnologie (ICT) versterken.
De nieuwe Digital Operational Resilience Act (DORA), die in januari 2025 van kracht wordt, heeft tot doel de regelgeving voor gegevensbeveiliging te veranderen door financiële instellingen te verplichten een proactieve aanpak met meerdere lagen te volgen voor het beheersen van ICT-gerelateerde risico’s. Met de verordening worden nieuwe robuuste vereisten ingevoerd voor bescherming, detectie, inperking, herstel en reparatie in geval van cyberincidenten of technologische verstoringen. In DORA wordt een reeks strenge vereisten uiteengezet waaraan financiële bedrijven moeten voldoen, zoals risicobeheer, incidentrapportage, risicobeheer van derden, digitale operationele weerbaarheidstests en het delen van informatie over bedreigingen, om een robuuste digitale veerkracht te garanderen.
DORA heeft tot doel verbeteringen in de operationele veerkracht van de 22.000 financiële instellingen in de EU door te voeren en te harmoniseren. Het is niet alleen van toepassing op banken, maar ook op kredietinstellingen, betalingsaanbieders, verzekeringsmaatschappijen, beleggingsondernemingen, fondsbeheerders, pensioenfondsen, diensten die handelen in crypto-activa, IT-diensten door derden, crowdfundingdiensten en meer. De nieuwe regelgeving legt de basis voor het bouwen van financiële systemen die flexibel zijn en voorbereid op de digitale bedreigingen van vandaag en morgen.
De gevolgen van niet-naleving
Financiële instellingen die de nieuwe regelgeving niet naleven, kunnen danig in de problemen komen, met als gevolg hoge boetes net als bij niet-naleving van AVG/GDPR. Deze boetes kunnen dagelijks oplopen totdat het probleem is opgelost, waardoor organisaties financieel zwaar worden getroffen, met nadelige gevolgen voor de reputatie van de organisatie die zich niet aan de regelgeving houdt.
Als zich bijvoorbeeld een cyberincident voordoet, moeten organisaties de toezichthoudende autoriteiten en betrokken partijen binnen 72 uur op de hoogte stellen. Als ze dit niet doen, worden de details van de inbreuk openbaar gemaakt. Daarom is het van cruciaal belang dat deze bedrijven hun IT-omgeving voortdurend monitoren op mogelijke bedreigingen en inbreuken en voorbereid zijn om adequaat te reageren. Om dit mogelijk te maken moeten ze geavanceerde systemen voor bedreigingsdetectie en een robuust incidentresponsplan implementeren en duidelijk inzicht krijgen in de kwetsbaarheden in de systemen van de organisatie. Zonder de juiste monitoring kunnen organisaties belangrijke indicatoren van een inbreuk missen en mogelijk daardoor de bevoegde regelgevende instanties niet tijdig op de hoogte stellen, wat de gevolgen nog kan verergeren.
Samenwerken met experts om een sterk compliance framework te ontwerpen
Ter voorbereiding op deze nieuwe regelgeving moet elke organisatie een uitgebreide beoordeling van de veerkracht en een gap-analyse ondergaan. Zo wordt beoordeeld hoe goed de organisatie is voorbereid op een cyberincident en hoe goed de organisatie in staat is om snel hiervan te herstellen. Er wordt een grondige evaluatie gedaan van de belangrijkste onderdelen, waaronder de huidige staat van de beveiligingsinfrastructuur, de capaciteit om te reageren op incidenten en het verbeteren van voortdurende monitoring.
Vanwege de drukke dagelijkse bedrijfsvoering kan het echter lastig zijn om deze vereisten tot in de kern op te volgen. Dan kan het echt helpen om onafhankelijke externe specialisten en externe leveranciers in te schakelen om deze kritieke veerkrachtbeoordelingen uit te voeren. Deze derden kunnen bedrijven helpen bij het opstellen van een stappenplan voor compliance, een duidelijk plan waarin de stappen worden beschreven die de organisatie moet nemen om aan de vereisten te voldoen en naleving te handhaven. Zo’n plan helpt om prioriteit te geven aan projecten die de grootste impact zullen hebben op het verbeteren van de beveiliging van de organisatie en het minimaliseren van risico’s.
Een deel van dit proces omvat tijdmanagement van verschillende complianceprojecten en het prioriteit geven aan die aspecten van cyberbeveiliging die de grootste impact zullen hebben. Met een stappenplan onder leiding van experts kunnen organisaties hun middelen beter inzetten en ervoor zorgen dat hun initiatieven gericht zijn op het beperken van de meest urgente bedreigingen.
Responsstrategieën bij incidenten en verantwoording nemen op bestuursniveau
Een essentieel onderdeel van elke veerkrachtbeoordeling is het responsproces op incidenten van de organisatie. Een goed geschreven incidentresponsplan is cruciaal, maar net zo belangrijk is hoe de organisatie reageert en of ze grondige ICT-tests uitvoert om altijd voorbereid te blijven. Het is van cruciaal belang om de bestaande frameworks en procedures voor het omgaan met cyberincidenten te onderzoeken en ervoor te zorgen dat ze in overeenstemming zijn met de wettelijke vereisten. Er moet onder andere worden bepaald welke infrastructuur er intern bestaat voor cyberbeveiligingsherstel en of deze de organisatie kan ondersteunen in geval van een grote inbreuk.
Daarnaast is het belangrijk dat op bestuursniveau verantwoording wordt genomen voor cyberbeveiliging. Dit moet als een kernactiviteit worden gezien die de betrokkenheid van het senior management en de raad van bestuur vereist. Wanneer het bestuur volledig op de hoogte is van de risico’s en een directe rol speelt bij het toezicht op cyberbeveiligingsinitiatieven, kan dat bijdragen tot het realiseren van een veiligheidscultuur in de hele organisatie.
Voortdurende monitoring en levenscyclusbeheer
Voortdurende monitoring van risicofactoren is essentieel voor het handhaven van een sterke beveiligingspositie, en door een dergelijk programma onderscheidt de organisatie zich positief ten opzichte van haar concurrenten.
Cyberdreigingen evolueren tegenwoordig snel, en om deze een stap voor te blijven, is zorgvuldig levenscyclusbeheer van IT-systemen, beveiligingsprotocollen en risico’s vereist. Organisaties moeten voortdurend nagaan waar ze staan op het gebied van compliance en risicobeheer en moeten hun processen daarbij continu evalueren en verfijnen. Bedrijven moeten een actieve benadering op basis van levenscyclusbeheer omarmen — begrijpen, plannen, testen en herhalen — zodat ze voorbereid zijn wanneer zich een cyberincident voordoet, maar wat nog belangrijker is, dat ze snel kunnen herstellen en kunnen aantonen over de veerkracht te beschikken die regelgeving zoals DORA wil bijbrengen.
