NIS 2: Network and Information Security Directive 2 (Netwerk en Informatiebeveiliging richtlijn 2). Een Europese richtlijn die in Nederlandse wetgeving wordt omgezet en regels stelt aan cyberveilige maatregelen.

DORA: Digital Operational Resilience Act (Digitale Operationele Weerbaarheid Wet). Europese wetgeving die de weerbaarheid van de uitvoering van het aanbieden van diensten, applicaties en noodzakelijke voorzieningen vastlegt.

Waar NIS2 gericht is op (zowel technische als organisatorische) cyberbeveiliging, legt DORA die afspraken contractueel vast. Dat is het mooie van DORA: er is geen nieuw technisch raamwerk vastgesteld maar er wordt voortgeborduurd op NIS2. Sterker nog: in DORA wordt in diverse artikelen voor de implementatie doorverwezen naar artikelen in NIS2. DORA kent vijf pijlers waarop de wetgeving is gebaseerd:

1. ICT-risicobeheer
2. ICT-incidentbeheer
3. Digitale weerbaarheid testen
4. Third Party risicomanagement
5. Informatie-uitwisseling (over cyberincidenten)

Cyberweerbaar zijn

DORA-wetgeving is belangrijk voor financiële organisaties op het gebied van cybersecurity, gewoonweg omdat er een belang is vanuit ‘het voldoen aan wetgeving’. De regulatory compliancy, ‘omdat het moet en je niet anders kunt’. Maar toch vind ik dat op zichzelf niet het juiste handelingskader. Ik geloof meer in een intrinsieke motivatie: je wílt cyberweerbaar zijn en je wílt je eigen gegevens en die van je klanten beschermen. Want word je geconfronteerd met een cyberhack, hoe zou je je dan voelen? Dat je jouw bedrijfsgegevens op het ‘dark web’ moet terugkopen? Of dat belangrijke bedrijfsapplicaties zijn gegijzeld (dataversleuteling) waardoor je dienstverlening is weggevallen? Of dat een kwaadwillende met jouw idee of dat van je klanten aan de haal gaat? Vanuit die gedachte naar risico’s kijken en je organisatie beschermen, het is de onderliggende basis voor DORA. Een ideale kapstok dus om beter cyberweerbaar te worden!

Opgedane inzichten

Als we het hebben over de grootste uitdagingen die organisaties tegenkomen bij het implementeren van DORA kan ik uit eigen ervaring spreken. Waar ik een aantal financials mocht ondersteunen in het DORA-compliant worden, heb ik daar waardevolle inzichten opgedaan. Onder andere het belang van gedegen third party riskmanagement, waarbij het essentieel is om in de keten van leveranciers en fabrikanten te voldoen aan de hoge eisen van DORA. Hoe beter je een goed raamwerk bouwt om leveranciermanagement uit te voeren, hoe beter je ‘in control’ bent. Hoe beter het raamwerk, hoe eerder je daarin DORA-compliant bent. En, een mooie bijvangst, met wat extra inspanning ben je meteen NIS2 en GDPR/AVG-compliant! 

DORA-stappenplan

De voor financials te zetten stappen om te kunnen voldoen aan de eisen van DORA zijn daarom vastgelegd in een stappenplan. Het is wat veel om alle stappen hier te noemen, maar wel heb ik enkele bepalende onder elkaar gezet: 

• Risicoanalyse: Om vast te stellen welke risico’s bestaan die de weerbaarheid van haar belangrijkste dienstverlening in de weg zitten, om van daaruit de noodzakelijke, passende maatregelen te nemen. 
• Bezettingsrooster: Een volcontinu bezettingsrooster voor incidentmeldingen om compliant te zijn. DORA kent een maximale incident responstermijn van 4 uur (in een 24x7 venster) voor significante incidenten. 
• Oorzaakanalyse: Omdat de financial zélf de incidentmelding naar de toezichthouder moet doen, zal daar iets voor moeten worden ingericht. Twee (van de zes) verplichte zaken van die initiële melding is een oorzaakanalyse (‘waar is het ontstaan?’, ‘wat is de eerste oorzaak?’) en welke eerste maatregelen zijn genomen (proactieve incidentmitigatie). De financial zal daarvoor dienstverlening moeten afnemen om monitoring, analyse en daarop volgend mitigatie mogelijk te maken.

DORA-compliance audit

Net als bij elke andere certificering is ook bij DORA een compliance audit noodzakelijk. Voorbereiden op DORA gaat zoals bij elke andere audit: leg alle maatregelen die je treft vast. Een GAP-analyse of analyse tegen de verplichtingen kan daarbij een solide basis vormen. Feitelijk is dit ‘harde’ compliancewerk altijd nodig als je een schema implementeert, of dat nu ISO 27001, NIS2 of DORA is. En als je als organisatie gewend bent aan audits, zul je bij elementmapping de stakeholders al hebben vastgelegd. 
Wat ik aanraad is om bij het afstemmen van de audit af te spreken wat de initiële scope van de audit is. Wordt het hele schema geaudit of in eerste instantie alleen een deel van de beheersmaatregelen getoetst? In dat laatste geval kun je volstaan met een beperkte set aan stakeholders die je voor de interviews een uitnodiging stuurt. Hoe minder hoe liever, want daarmee beperk je de impact voor de eigen organisatie.

Dat kun je sturen. Want veel van de NIS2- en DORA-beheersmaatregelen zijn opgenomen in het normenkader van ISO 27001, NEN 7510 en controls uit de SOC 2. Zowel de NIS2 als ook de DORA onderkennen dit en accepteren deze relevante certificeringen en accreditatie als invulling in lijn met de wetgeving. Dat scheelt bij de periodieke DORA-compliance audits. Als organisatie zou ik dan ook zeker de hier genoemde normen en accreditatie overwegen.

Consequenties voor niet voldoen

Voldoe je als financiële organisatie niet aan de DORA-wetgeving, dan zijn er diverse pijnlijke consequenties, bijvoorbeeld in de vorm van flinke boetes. Maar ook directe sancties tegen het bestuur zijn mogelijk. Daarnaast kan de toezichthouder de naam van de organisatie die niet aan DORA voldoet openbaar maken. Maar welke prijs kun je plakken op reputatieschade, een verstoring van je dienstverlening naar je klanten of diefstal van je bedrijfsgegevens? Of de gegevens van je klanten? Zie dat maar eens uit te leggen…

Hulpmiddelen of technologieën

Waar DORA gericht is op het zo snel mogelijk ingrijpen bij calamiteiten, ligt de nadruk op snel herstel en snelle informatievoorziening naar de toezichthouder. Deze kan dan op zijn beurt andere financiële organisaties waarschuwen dat er iets speelt. DORA hanteert daarvoor een harde maximale termijn van 4 uur in een 24x7 venster. Dat is serieus, en zorgt ervoor dat je het goed geregeld moet hebben. Om snel in te kunnen grijpen, zijn daarom een aantal noodzakelijke maatregelen nodig:

• Monitoring van identiteiten (menselijk handelen), netwerkverkeer en de endpoints in het IT-landschap (laptops/servers et cetera).
• Ingerichte dienstverlening en responsplannen om bij een incident snel te kunnen handelen. Denk aan het isoleren van het account van het getroffen individu, de getroffen werkplek, het betrokken netwerk component of de geraakte server. Hoe sneller je ingrijpt hoe geringer de schade kan zijn.
• Ondersteuning bij het opstellen in het initiële incident rapport naar de toezichthouder.
• Incident analyse, begeleiding en ondersteuning bij post-incident rapportage.
• Structurele mitigatie van het incident: Lessons learned toepassen.

Bij de keuze welke technologieën geschikt zijn geldt: Less is more. Niet voor niets heeft DORA verplicht gesteld dat met regelmaat (minimaal 1x per week) het IT-landschap op mogelijke kwetsbaarheden moet worden gescand. En dat behelst niet alleen het scannen op actuele softwareversies. Maar door voortschrijdend inzicht kan ook een bepaalde configuratie-instelling, die bij de initiële inrichting goed was, door de tijd te zijn ingehaald en nu juist een aanvalsopening bieden. Daar hoort goed Vulnerability Management bij, waarmee IT-kwetsbaarheden van een organisatie in kaart worden gebracht om deze vervolgens te kunnen managen. Dat wordt aangevuld met periodieke weerbaarheids- en indringerstesten. Het zijn simpelweg verplichtingen vanuit DORA. 

DORA-ontwikkelingen

Toen DORA in 2022 werd gepubliceerd, wisten we allemaal al dat de ontwikkelingen op gebied van cyberbeveiliging heel snel gaan. Daarom is er in de wet verankerd dat de uitwerking van een elftal zaken in later stadium zou worden uitgevoerd. Daartoe is een gezamenlijke commissie opgesteld (Joint Committee of the European Supervisory Authorities (ESAs)), die deze uitwerkingen in de vorm van elf amendementen in 2023 en 2024 heeft gepubliceerd. Die zijn nog lang niet allemaal aangenomen en er is volop discussie over sommige uitwerkingen. Het voert te ver die discussies en voorstellen hier te noemen, maar dat de uitvoerings- (RTS) en implementatie (ITS)-richtlijnen nog in ontwikkeling zijn maakt het niet makkelijker. Zeker omdat DORA in januari 2025 in Europa van kracht is geworden en controle op handhaving vanaf mei 2025 zal starten.

Noem het beroepsdeformatie, noem het motivatie of kennishonger, maar ik volg die ontwikkelingen op de voet. Zodat wij als Unica ICT Solutions goed compliant blijven en onze klanten op de juiste manier geholpen blijven worden. Samen maken we immers de toekomst.