DORA compliance: wat betekent dit voor jouw organisatie?

De nieuwe DORA-wetgeving maakt het verplicht (en controleerbaar) voor organisaties in de financiële sector om weerbaar te zijn op operationeel gebied en weerstand te bieden tegen eventuele bedreigingen die ernstige verstoringen in de bedrijfsprocessen kunnen veroorzaken. Voor veel organisaties betekent dit een grotere focus op het implementeren van cybersecuritymaatregelen om eventuele aanvallen te detecteren, erop te reageren en ervan te herstellen.

DORA richt zich op het ICT-risicobeheer voor organisaties, met als doel weerbaarder te worden op het gebied van cybersecurity. De gebieden, of pijlers in DORA-termen, zijn ICT-risicobeheer, incidentrapportage, testen van digital operational resilience, risicobeheer van derden en het delen van informatie en intelligentie.

DORA is specifiek gericht is op de FSI (financiële sector). Maar de EU heeft recentelijk ook andere, bredere regelgeving geïntroduceerd. De belangrijkste is de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2), die als doel heeft cybersecurityvereisten te versterken voor middelgrote en grote entiteiten die actief zijn en diensten verlenen in belangrijke sectoren.

De DORA zal cyber resilience verplichten. Specifieke maatregelen zijn dan geen aanbevelingen of ‘nice to haves’ meer. Voor de meeste organisaties zal dit een opschaling van reeds genomen maatregelen betekenen.

Bestaande regelgevingen rondom cyber security bieden al wel richtlijnen voor cyber resilience en er is veel overlap tussen deze regelgevingen. Echter toonde het Microsoft Digital Defense Report 2022 na onderzoek aan dat veel organisaties nog steeds moeite hebben om minstens het meest basale niveau van cyber resilience te bereiken. Bijvoorbeeld; gegevensverliespreventie is niet geïmplementeerd, er is geen SIEM/SOAR- of EDR-oplossing beschikbaar, multifactor-authenticatie is niet verplicht voor alle accounts en er is geen adoptie van het Zero Trust-model of andere beveiligingsframeworks. De DORA maakt het verplicht om cyber resilience écht op orde te hebben.

Binnen InSpark hebben we een specifiek “Expert Team” dat zich bezighoudt met naleving van Microsoft cloudvoorschriften. We volgen wetten en regelgevingen nauwgezet. Voor bijvoorbeeld Nederlandse overheidsorganisaties zijn we zeer bedreven in het implementeren van de Baseline Informatiebeveiliging Overheid (BIO) en hebben we zelfs een specifiek beoordelingssjabloon gemaakt dat gebruikt kan worden in de Microsoft Purview Compliance Manager.

In het huidige IT-landschap is het verstandig om altijd uit te gaan van een mogelijke cyberaanval, ‘assume breach’. Het is daarom van cruciaal belang om de mogelijke risico’s te identificeren waarmee de organisatie te maken kan krijgen, hoe deze te classificeren en hoe ze te verhelpen.

Tools zoals Insider Risk Management en Defender for Endpoint maken het mogelijk om mogelijke beveiligings- of nalevingsincidenten te detecteren voordat ze onbeheersbaar worden. Customer Key en Double Key encryption zorgen ervoor dat informatie op het hoogst mogelijke niveau versleuteld wordt. Adaptice protection maakt gebruik van het concept van gebruikersrisiconiveaus om specifieke regels voor gegevensverliespreventie toe te passen wanneer dat nodig is. Dit zijn slechts een paar voorbeelden.

Vanuit het perspectief van een organisatie vereist dit een holistische benadering voor het ontwerpen, implementeren en onderhouden van deze tools. Compliance monitoring met behulp van de Compliance Manager stelt de organisatie in staat om op de hoogte te blijven van regels en voorschriften, en om te zien welke nieuwe maatregelen kunnen worden genomen.

Maar organisaties moeten ook verder kijken. Backup-/herstelscenario’s, zowel in Azure als in Microsoft 365, moeten worden aangepakt. Vulnerability management, zowel on-premises als in de cloud, moet aanwezig zijn om eventuele kwetsbaarheden automatisch te verhelpen. Machine learning en kunstmatige intelligentie zijn nodig om de steeds grotere hoeveelheden ongestructureerde gegevens die we dagelijks creëren te beschermen.

Richt je op het rapporteren van specifieke incidenten, maar ook op het vermogen om ze te detecteren. Hier komen componenten zoals een SIEM/SOAR (Microsoft Sentinel) en uitgebreide detectie- en responsplatforms zoals de Microsoft Defender-suite van pas. Maar alleen rapporteren is niet voldoende. Automatische herstelmaatregelen met behulp van deze tools zijn net zo belangrijk.

Beveiligingstests zouden voor organisaties een tweede natuur moeten worden. Dit kan bijvoorbeeld het testen van applicaties of de nieuwe moderne werkomgeving zijn, maar ook het opnemen van beveiligingstests in een DevOps-scenario. Beveiliging is niet langer een “extra toevoeging”, het is een must.

Het andere onderdeel hiervan is resilience testing. Dit is wat moeilijker. Vulnerability management, maar ook back-up en herstelprocessen en -procedures moeten permanent worden getest. Dit kan worden gedaan als een desktop oefening, maar ook als uitgebreide herstelsimulaties.

Elke organisatie die moet voldoen aan DORA en gebruikmaakt van de diensten van een externe IT-serviceprovider, moet ervoor zorgen dat deze provider kan worden geauditeerd. Als (cloud) serviceprovider kun je verwachten dat auditors organisatieprocessen, NDA’s en meer zullen controleren.

Bij InSpark zijn gewend om te worden geaudit voor specifieke voorschriften, zoals de ISO27001-standaard. Wij zijn gecertificeerd op verschillende regelgevingen en niveaus. We gebruiken state-of-the-art Microsoft-technologie voor zowel onze klanten als onze interne organisatie waarbij we profiteren van het feit dat Microsoft ook geaudit wordt. Maar we zullen er alsnog ook zelf voor moeten zorgen dat we goed omgaan met de bepalingen in DORA wanneer deze beschikbaar worden. Mocht hieruit blijken dat we niet volledig DORA-proof zijn, doen we zo snel mogelijk aanpassingen om aan de nieuwe regelgeving te voldoen.

Leveranciers van ICT-diensten die als kritiek zijn aangemerkt, worden rechtstreeks gecontroleerd door EBA (European Banking Authority), ESMA (European Securities and Markets Authority) of EIOPA (European Insurance and Occupational Pensions Authority), afhankelijk van het deel van de financiële markt waarin de dienstverlener actief is.

Zoals gezegd moet elke kritische IT-dienstverlener voldoen aan DORA. Dit betekent dat je een fit-gap analyse moet uitvoeren om te achterhalen in hoeverre je voldoet aan de DORA. Eventuele verschillen moeten worden aangepakt en opgelost. Zo niet, dan zal de FSI klant het contract moeten beëindigen.

Vraag 15: Hoe kan een verzekeraar zich voorbereiden op de DORA-wetgeving?

DORA zal controles invoeren die cyber resilience maatregelen verplicht stellen. Dit brengt ons bij de technologieoplossingen van Microsoft. Microsoft Defender, Azure en de Microsoft Purview-suite stellen verzekeraars in staat het Zero Trust-framework te adopteren en te voldoen aan de DORA-regelgeving. Hiermee worden apparaten, identiteiten, apps en gegevens binnen de organisatie gedekt.

Vanuit het perspectief van een organisatie vereist dit een holistische benadering voor het ontwerpen, implementeren en onderhouden van deze componenten. Compliance monitoring met behulp van de Compliance Manager stelt de organisatie in staat op de hoogte te blijven van regels en voorschriften, en te zien welke nieuwe maatregelen kunnen worden genomen. Als je werkzaam bent bij een FSI en moet voldoen aan DORA, is dit het moment om te kijken naar het Zero Trust-framework en hoe Microsoft cloudtechnologie dit ondersteunt. Vergis je niet – hoewel de technologie geavanceerd is, is dit niet 1-2-3 geïmplementeerd. Je moet een holistische oplossing creëren waarin deze technologieën samenwerken om (bijna) autonoom incidenten te detecteren en erop te reageren.

Bij het bepalen of een dienstverlener kritiek is, wordt gekeken naar de relevantie van de diensten voor de financiële sector, de afhankelijkheid van de financiële sector van de diensten en de vervangbaarheid van de dienstverlener. Onder andere de grotere cloudserviceproviders worden verwacht als kritiek te worden aangemerkt, maar het is niet strikt beperkt tot cloudserviceproviders.

Dat kunnen we nog niet met zekerheid zeggen, maar we bereiden ons al wel voor op de mogelijkheid. We ondersteunen ook hoe DORA verschillende regelgevingen harmoniseert en de weerbaarheid van zowel financiële dienstverleners als ICT-dienstverleners. Het bouwt ook vertrouwen op voor het verdere gebruik van IT-diensten binnen de financiële dienstverlening.

We zijn al begonnen met ons interne nalevings- en implementatieproces om ervoor te zorgen dat we voor de deadline klaar zijn voor de toepassing. In dit opzicht geloven we dat de samenwerking en dialoog met onze klanten en wetgevers essentieel zijn om dit goed te doen. Dus we staan open voor input, specifieke vragen en reflecties. We houden de aanvullende wetgeving en technische normen die nog in het verschiet liggen nauw in het oog en komen direct in actie wanneer en waar nodig.

Wat betreft het mogelijke CTPP (Critical ICT third-party service providers) aanduidingsproces, kan dit pas worden gestart na 17 januari 2025. Dus de daadwerkelijke impact is moeilijk te voorspellen in deze fase, maar we evalueren de mogelijkheid om die aanduiding te krijgen en bereiden ons voor op de implementatie om aan de vereiste eisen te voldoen.

Heel eenvoudig: vanaf 17 januari 2025 moeten alle organisaties in de financiële sector en IT-serviceproviders die deze organisaties bedienen, voldoen aan DORA.

Er zijn vier belangrijke aspecten waarin wij bij Microsoft kunnen helpen als organisatie: ICT-risicobeheer, rapportage van ICT-gerelateerde incidenten, digital operational resilience testing en beheer risico’s ICT-dienstverleners.

1. Als we het hebben over ICT-risicobeheer, zet DORA een uitgebreid beheermechanisme op voor ICT-risico’s. Financiële instellingen moeten hieraan voldoen, wat onder andere het identificeren, beschermen, voorkomen, detecteren, reageren en beheren van dergelijke risico’s omvat. We bieden onze klanten een breed scala aan ingebouwde mogelijkheden om hen te helpen dit doel te bereiken, zoals:

• Microsoft 365 Defender, een platform voor beveiligingsbeheerders om hun taken op één plek uit te voeren. Het is een geïntegreerde verdedigingssuite om voorbereid te zijn op, incidenten of inbreuken te isoleren en te herstellen.
• Microsoft Defender for Cloud, een op de cloud gebaseerd platform voor applicatiebeveiliging met beveiligingsmaatregelen om cloudgebaseerde apps te beschermen tegen verschillende cyberbedreigingen en kwetsbaarheden.
• Microsoft Purview Compliance Manager. Het helpt bij het volgen van risico’s voor gegevensbescherming, het beheren van de complexiteit van de implementatie van controles, op de hoogte blijven van voorschriften en certificeringen, en het efficiënt rapporteren van inspanningen aan auditors.

2. Wat betreft rapportage van ICT-gerelateerde incidenten, zal DORA de incidentclassificatie standaardiseren en de rapportageprocessen stroomlijnen. Dit leidt tot een meer systematische manier om incidenten te monitoren, te beheersen en erop te volgen. Microsoft stelt FSI’s in staat om aan deze rapportageverplichtingen te voldoen met tools in de Defender- en Purview-suites.
3. Dan digital operational resilience testing. DORA introduceert digital operational tests die kritieke ICT-systemen en applicaties jaarlijks tot elke drie jaar moeten ondergaan. Dit zal de testmogelijkheden van financiële instellingen verbeteren, waardoor tijdig herstel en bedrijfscontinuïteit worden bevorderd. We faciliteren klanten hier al mee via ons penetration testing programma genaamd Microsoft Cloud Penetration Testing Rules of Engagement.
4. Ten slotte, het beheer van risico’s via ICT-dienstverleners. De vereisten voor DORA’s third-party risk management zijn behoorlijk uitgebreid.

• Dit omvat een aantal contractuele bepalingen die aanwezig moeten zijn in ICT-uitbestedingsovereenkomsten binnen de tweejarige implementatieperiode. Wat voor soort bepalingen precies vereist zijn, zal in de loop van de tijd worden verduidelijkt door wat de DORA-regelgeving de Regulatory Technical Standards noemt, uitgegeven door de aangewezen Europese toezichthoudende autoriteiten.
• Dit betekent dat FSI’s meer werk op hun bord zullen krijgen bij samenwerking met externe dienstverleners. Je krijgt te maken met strengere verplichtingen en strengere eisen voor risicobeoordeling van alle contracten die de levering van kritieke en belangrijke functies ondersteunen.
• Microsoft maakt biedt al contractsvormen waarmee FSI’s kunnen voldoen aan de belangrijkste eisen van de EBA (European Banking Authority), EIOPA (European Insurance and Occupational Pensions Authority) en ESMA (European Securities and Markets Authority) die van toepassing zijn op cloud-uitbesteding. We herzien deze contracten proactief gedurende de implementatieperiode van de DORA, met als duidelijk doel eventuele noodzakelijke wijzigingen ruim voor de deadline door te voeren.

DORA zal controles invoeren die cyber resilience maatregelen verplicht stellen. Dit brengt ons bij de technologieoplossingen van Microsoft. Microsoft Defender, Azure en de Microsoft Purview-suite stellen verzekeraars in staat het Zero Trust-framework te adopteren en te voldoen aan de DORA-regelgeving. Hiermee worden apparaten, identiteiten, apps en gegevens binnen de organisatie gedekt.

Vanuit het perspectief van een organisatie vereist dit een holistische benadering voor het ontwerpen, implementeren en onderhouden van deze componenten. Compliance monitoring met behulp van de Compliance Manager stelt de organisatie in staat op de hoogte te blijven van regels en voorschriften, en te zien welke nieuwe maatregelen kunnen worden genomen. Als je werkzaam bent bij een FSI en moet voldoen aan DORA, is dit het moment om te kijken naar het Zero Trust-framework en hoe Microsoft cloudtechnologie dit ondersteunt. Vergis je niet – hoewel de technologie geavanceerd is, is dit niet 1-2-3 geïmplementeerd. Je moet een holistische oplossing creëren waarin deze technologieën samenwerken om (bijna) autonoom incidenten te detecteren en erop te reageren.

InSpark heeft een toegewijd Cloud Security Center (SOC) dat gebruikmaakt van geavanceerde Microsoft-componenten. We kunnen elke beveiligingsdreiging detecteren en automatisch reageren zodra deze zich voordoet. Dit is een “as a service” oplossing.

Vanuit een consultancy rol, en met gebruikmaking van de huidige wet- en regelgeving, kunnen we FSI’s helpen cyber resilience te verbeteren door het ontwikkelen en implementeren van de Microsoft-suite oplossingen. We beginnen met het beoordelen van de huidige omgeving op het gebied van beveiliging en compliance en stellen een roadmap/backlog op om systematisch de componenten binnen het Zero Trust-framework aan te pakken.