Op 21 mei vond het webinar "Uitdagingen bij de implementatie van DORA" plaats.consultants Gert Jan Thierry en Nienke Moek Projective Group loodsten de deelnemers door de verwachtingen van de toezichthouder ten aanzien van DORA en de uitdagingen bij de implementatie ervan. Ze gaven ook praktische tips om deze obstakels te overwinnen. Hieronder vindt u een overzicht van de inhoud van het webinar.
Cybercriminelen worden steeds slimmer en het aantal cyberaanvallen neemt nog steeds toe. Reden voor Europa om de Digital Operational Resilience act (DORA) (VERORDENING (EU) 2022/2554) aan te nemen, met als doel om de hele financiële sector operationeel weerbaarder te maken. Op dit moment gelden er al verschillende richtlijnen voor verschillende typen financiële ondernemingen, maar ontbreekt het aan een gezamenlijk wettelijk kader. DORA lost dit op door in één keer de regels op het gebied van ICT te harmoniseren, en deze voor de hele sector naar een hoger niveau te tillen.
Nu de inwerkingtreding van DORA dichterbij komt, is het hoog tijd om aan de slag te gaan met de implementatie. Tijdens het webinar bespraken Gert Jan en Nienke zeven implementatiefases:
Een succesvolle inrichting van projectbeheersing start met de instemming en goedkeuring van de directie. Het duidelijk afstemmen van verwachtingen wat betreft tijdslijnen, resources en budget is hierbij cruciaal.
Ook tipt Gert Jan om duidelijke Terms of Reference op te stellen en een actieve RAID log bij te houden om Risks, Assumptions, Issues en Dependencies effectief te monitoren en te managen.
De eerste stap is het bepalen van de uiteindelijke scope. Dit is belangrijk omdat je zonder een duidelijke scope niet precies weet welke eisen van toepassing zijn, welke definities je gebruikt en hoe je omgaat met grijze gebieden waar de toezichthouder nog niet voldoende duidelijkheid heeft verschaft (zoals externe beheerders en bewaarders). Bij het definiëren van de scope is het belangrijk om te redeneren vanuit de licentie van je organisatie. Als je een besluit neemt over scoping, documenteer dit dan duidelijk. Als de toezichthouder je later vragen stelt, kun je de gemaakte keuzes toelichten.
DORA bestaat uit twee regelgevingsniveaus: niveau 1 (de verordening stelt het kader vast) en niveau 2 (de details in de RTS en ITS). Dit laatste niveau van regelgeving zal naar verwachting pas in juli worden afgerond. Toch raden Nienke en Gert Jan aan om beide regelgevingsniveaus tegelijkertijd te bekijken op gap-analyse, zelfs als de teksten van niveau 2 nog in conceptvorm zijn. In sommige gevallen lijk je na een eerste analyse te voldoen aan de regelgeving van niveau 1, maar kunnen de aanvullende vereisten van niveau 2 hiaten aan het licht brengen.
Je kunt de gap-analyse als volgt uitvoeren:
Beoordeel vervolgens of de bestaande controles de vereisten van DORA dekken. Een belangrijk punt tijdens de implementatie blijft het bewijs. Zorg ervoor dat je bewijs toevoegt voor elk hiaat en elke actie (bijvoorbeeld door een kolom in een Excel-bestand toe te voegen met links naar relevante documenten als bewijs). Zorg tot slot voor expliciete goedkeuring van dit bewijs door het bestuur. Het ontbreken hiervan is een veelvoorkomende valkuil die tijdens audits aan het licht komt.
Voordat het eigenlijke implementatieproces van start gaat, helpt het om de geïdentificeerde hiaten en bijbehorende deliverables te concretiseren. Zorg ervoor dat je voor elk hiaat een (sub)deliverable definieert en aan elke (sub)deliverable een of meer acties toewijst. Deze acties moeten vervolgens in detail worden toegewezen aan een verantwoordelijke persoon, met deadlines.
Gert Jan adviseert om te werken met twee projectplanningen. Eén op hoog niveau, waarmee je aan (interne) stakeholders de status van de implementatie kunt aantonen, en een detailplanning. Deze detailplanning fungeert als checklist en helpt bij het plannen van de acties.
Tijdens het implementatieproces is transparantie belangrijk. Goede communicatie helpt het management de juiste keuzes te maken en prioriteit aan te brengen. Ook helpt het interne en externe stakeholders betrokken te houden bij het proces. Gert Jan noemt de volgende interne en externe belanghebbenden:
Intern:
Extern:
Naast de implementatiestappen die stuk voor stuk werden besproken, stonden Gert Jan en Nienke uitgebreid stil bij een aantal knelpunten tijdens dit proces. Hieronder lichten we er drie uit:
Gert Jan spoort partijen aan om pragmatisch te zijn tijdens de DORA implementatie. Hij raadt af om het wiel helemaal opnieuw uit te vinden, maar uit te gaan van de bestaande ICT-beveiliging framework van de organisatie. Kijk hoe je bestaand beleid, processen en applicaties kunt aanpassen in plaats van te streven naar een complete herziening van de beleidsstructuur.
Afhankelijk van de impact die DORA op jouw organisatie heeft, kun je kiezen voor een gefaseerde aanpak. In een latere fase (bijvoorbeeld in 2025) kun je het beleid volledig harmoniseren en het werk spreiden. Zorg er echter wel voor dat je voor 17 januari 2025 aan de vereisten voldoet.
ICT-incidentbeheer onder DORA is een tweede valkuil. Het classificeren van incidenten onder DORA is behoorlijk complex. Daarnaast hebben de verplichte rapporten meer eisen. Afhankelijk van de grootte van je organisatie heb je misschien al een systeem voor ICT-incidentenbeheer. Dit nieuwe proces vereist systeemaanpassingen, waar je snel mee aan de slag moet.
Om de kwaliteit van het proces te waarborgen en DORA vanuit verschillende perspectieven te bekijken, is het goed om vanuit verschillende hoeken input te verzamelen. Als je bijvoorbeeld een memo over scoping schrijft voor de directie, zorg er dan voor dat de tweede, derde en eventueel eerste lijn het ook beoordelen. Dit zorgt ervoor dat de inbedding in de organisatie zo soepel mogelijk verloopt.
Betrek bovendien de mensen bij het project die later de taken zullen uitvoeren, om kennis over DORA binnen de organisatie te borgen.
In dit artikel geven we een korte samenvatting van de inhoud van het webinar. Ben je benieuwd naar de andere uitdagingen of kun je wel wat praktische tips gebruiken? Of heb je vragen over de implementatie van DORA binnen jouw organisatie? Neem dan gerust contact met ons op.
