Op 21 mei vond het webinar"Knelpunten bij de implementatie van DORA" plaats. Projective Group consultants Gert Jan Thierry en Nienke Moek namen deelnemers mee in de verwachtingen van de toezichthouder rondom DORA en de knelpunten in de implementatie. Ook gaven ze concrete tips om deze te overwinnen. Hieronder geven we een overzicht van de inhoud van het webinar.
Cybercriminelen worden steeds slimmer en het aantal cyberaanvallen neemt nog steeds toe. Reden voor Europa om de Digital Operational Resilience act (DORA) (VERORDENING (EU) 2022/2554) aan te nemen, met als doel om de hele financiële sector operationeel weerbaarder te maken. Op dit moment gelden er al verschillende richtlijnen voor verschillende typen financiële ondernemingen, maar ontbreekt het aan een gezamenlijk wettelijk kader. DORA lost dit op door in één keer de regels op het gebied van ICT te harmoniseren, en deze voor de hele sector naar een hoger niveau te tillen.
Nu de inwerkingtreding van DORA dichterbij komt, is het hoog tijd om aan de slag te gaan met de implementatie. Tijdens het webinar bespraken Gert Jan en Nienke zeven implementatiefases:
Een succesvolle inrichting van projectbeheersing start met de instemming en goedkeuring van de directie. Het duidelijk afstemmen van verwachtingen wat betreft tijdslijnen, resources en budget is hierbij cruciaal.
Ook tipt Gert Jan om duidelijke Terms of Reference op te stellen en een actieve RAID log bij te houden om Risks, Assumptions, Issues en Dependencies effectief te monitoren en te managen.
De eerste stap is om de definitieve scope te gaan bepalen. Dit is belangrijk, want zonder een heldere scope weet je niet precies welke vereisten van toepassing zijn, welke definities je hanteert en hoe je omgaat met grijze gebieden waarop de toezichthouder nog niet voldoende duidelijkheid geeft (zoals externe managers en custodians). Belangrijk bij het bepalen van de scope is om te redeneren vanuit de vergunning van je eigen organisatie. Als je een keuze maakt wat betreft scoping, leg dit dan duidelijk vast. Mocht je later vragen krijgen van de toezichthouder, dan kun je de gemaakte keuzes duidelijk toelichten.
DORA bestaat uit twee regelgevingsniveaus: niveau 1 (de verordening stelt het kader vast) en niveau 2 (de details in de RTS en ITS). Dit laatste niveau van regelgeving zal naar verwachting pas in juli worden afgerond. Toch raden Nienke en Gert Jan aan om beide regelgevingsniveaus tegelijkertijd te bekijken op gap-analyse, zelfs als de teksten van niveau 2 nog in conceptvorm zijn. In sommige gevallen lijk je na een eerste analyse te voldoen aan de regelgeving van niveau 1, maar kunnen de aanvullende vereisten van niveau 2 hiaten aan het licht brengen.
Je kunt de gap-analyse als volgt uitvoeren:
Beoordeel vervolgens of de bestaande controls de vereisten van DORA dekken. Een belangrijk punt tijdens de implementatie blijft de bewijsvoering. Zorg daarom dat je bij iedere gap en actie bewijsvoering toevoegt (bijvoorbeeld door in een Excelbestand een kolom toe te voegen met linkjes naar desbetreffende documenten als bewijslast). Zorg ten slotte voor expliciete goedkeuring van deze bewijslast vanuit de directie. Het ontbreken hiervan is een veelvoorkomende valkuil die tijdens audits aan het licht komt.
Voordat het eigenlijke implementatieproces van start gaat, helpt het om de geïdentificeerde hiaten en bijbehorende deliverables te concretiseren. Zorg ervoor dat je voor elk hiaat een (sub)deliverable definieert en aan elke (sub)deliverable een of meer acties toewijst. Deze acties moeten vervolgens in detail worden toegewezen aan een verantwoordelijke persoon, met deadlines.
Gert Jan adviseert om te werken met twee projectplanningen. Eén op hoog niveau, waarmee je aan (interne) stakeholders de status van de implementatie kunt aantonen, en een detailplanning. Deze detailplanning fungeert als checklist en helpt bij het plannen van de acties.
Tijdens het implementatieproces is transparantie belangrijk. Goede communicatie helpt het management de juiste keuzes te maken en prioriteit aan te brengen. Ook helpt het interne en externe stakeholders betrokken te houden bij het proces. Gert Jan noemt de volgende interne en externe belanghebbenden:
Intern:
Extern:
Naast de implementatiestappen die stuk voor stuk werden besproken, stonden Gert Jan en Nienke uitgebreid stil bij een aantal knelpunten tijdens dit proces. Hieronder lichten we er drie uit:
Gert Jan spoort partijen aan om pragmatisch te zijn tijdens de DORA implementatie. Hij raadt af om het wiel helemaal opnieuw uit te vinden, maar uit te gaan van het bestaande ICT-beveiligingsraamwerk van de organisatie. Kijk hoe je bestaand beleid, processen en applicaties kunt aanpassen in plaats van te streven naar een complete herziening van de beleidsstructuur.
Afhankelijk van de impact die DORA op jouw organisatie heeft, kun je kiezen voor een gefaseerde aanpak. In een latere fase (bijvoorbeeld in 2025) kun je het beleid volledig harmoniseren en het werk spreiden. Zorg er echter wel voor dat je voor 17 januari 2025 aan de vereisten voldoet.
ICT-incidentbeheer onder DORA is een tweede valkuil. Het classificeren van incidenten onder DORA is behoorlijk complex. Daarnaast hebben de verplichte rapporten meer eisen. Afhankelijk van de grootte van je organisatie heb je misschien al een systeem voor ICT-incidentenbeheer. Dit nieuwe proces vereist systeemaanpassingen, waar je snel mee aan de slag moet.
Om de kwaliteit van het proces te waarborgen en DORA vanuit verschillende perspectieven te bekijken, is het goed om vanuit verschillende hoeken input te verzamelen. Als je bijvoorbeeld een memo over scoping schrijft voor de directie, zorg er dan voor dat de tweede, derde en eventueel eerste lijn het ook beoordelen. Dit zorgt ervoor dat de inbedding in de organisatie zo soepel mogelijk verloopt.
Betrek daarnaast de mensen bij het project die later de taken zullen uitvoeren, om kennis over DORA binnen de organisatie te borgen.
In dit artikel geven we een korte samenvatting van de inhoud van het webinar. Ben je benieuwd naar de andere uitdagingen of kun je wel wat praktische tips gebruiken? Of heb je vragen over de implementatie van DORA binnen jouw organisatie? Neem dan gerust contact met ons op.
