jan-karel.nl
Home / ethical hacker / penetratietester / Achtergrond & Frameworks / Europa Kijkt Mee
DORA Compliance Financieel EU

Europa Kijkt Mee

De Europese Unie heeft een eigenschap die je kunt bewonderen of vervloeken, afhankelijk van je perspectief: als ze een probleem zien, maken ze een verordening. En als de financiële sector een cybersecurityprobleem heeft — en dat heeft hij — dan krijgt de financiële sector een verordening. Die verordening heet DORA.

Wat is DORA?

De Digital Operational Resilience Act is een EU-verordening die ervoor moet zorgen dat de financiële sector bestand is tegen ICT-verstoringen en cyberaanvallen. Niet als richtlijn die landen zelf mogen invullen, maar als verordening die rechtstreeks geldt. In alle lidstaten. Zonder uitzonderingen. Vanaf 17 januari 2025.

Het kernidee is eigenlijk vrij logisch: als je spaargeld bij een bank staat en die bank wordt platgelegd door een ransomware-aanval, dan wil je dat die bank dat heeft voorzien. Dat er backups zijn. Dat er een plan is. Dat het systeem binnen afzienbare tijd weer werkt. DORA zegt, in essentie: dat moet je niet alleen willen, je moet het ook bewijzen.

Voor wie geldt het?

Vrijwel de hele financiële sector: banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen, crypto-dienstverleners. Maar — en dit is het verrassende deel — ook hun ICT-dienstverleners. Als je cloudprovider of softwareleverancier bent voor een bank, val je ook onder DORA. De verordening erkent dat de financiële sector niet in een vacuüm opereert en dat een kwetsbaarheid bij de cloudprovider een probleem is voor de bank.

De vijf pijlers

  1. ICT-risicobeheer — Een raamwerk voor het identificeren, beschermen, detecteren, herstellen en leren van ICT-risico's. Inclusief governance op bestuursniveau.
  2. Incidentrapportage — Verplichte melding van ernstige ICT-incidenten aan de toezichthouder. Met gestandaardiseerde templates en tijdlijnen.
  3. Digitale operationele veerkrachttests — Reguliere tests, waaronder Threat-Led Penetration Testing (TLPT) voor grote instellingen. Niet het soort pentest waar je een rapport over schrijft en in de la legt. Het soort pentest waar de toezichthouder naar vraagt.
  4. ICT-risicobeheer van derde partijen — Contractuele eisen aan je ICT-leveranciers, due diligence, exit-strategieën. Geen "we vertrouwen erop dat de cloudprovider het goed doet."
  5. Informatiedeling — Mechanismen om dreigingsinformatie te delen met andere financiële instellingen.

Wat betekent dit in de praktijk?

DORA dwingt organisaties om cybersecurity te behandelen als wat het is: een bedrijfsrisico, niet een IT-dingetje. Het bestuur moet cybersecurity begrijpen, er budget aan toewijzen, en er verantwoordelijkheid voor nemen. Niet delegeren naar de CISO en dan verrast zijn als het misgaat.

Voor ICT-dienstverleners betekent het dat klanten in de financiële sector zwaardere contractuele eisen gaan stellen. Audits, pentests, incidentrapportage, exit-strategieën. Als je er niet aan kunt voldoen, verlies je de klant.

Het is wetgeving met tanden. En het bijt.

Verder lezen

  • SOC 2 — het Amerikaanse equivalent voor dienstverleners
  • NIS2 — de bredere EU-cybersecurityrichtlijn
  • Pentesting — een vereiste onder DORA's TLPT-pijler

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

Gerelateerde artikelen

← Achtergrond & Frameworks ← Home