Het snelle tempo van technologische ontwikkelingen en de constante evolutie van cyberdreigingen vormen een unieke uitdaging voor overheidsbeleid. Regelgeving is een belangrijk hulpmiddel om de beveiliging te vergroten. Tegelijkertijd moet de regelgeving waarin technologie wordt opgenomen, zo worden ontworpen dat voortdurende innovatie wordt gewaarborgd en gestimuleerd naarmate het dreigingslandschap verandert.

 

Vorig jaar ging NIS2 al van kracht, deze maand volgt DORA. De Digital Operational Resilience Act (DORA) heeft een duidelijk doel: sterke cyberveerkrachtpraktijken creëren in de financiële dienstverleningssector, een sector die te maken heeft met cyberdreigingen van zowel particuliere cybercriminelen als nation state actoren. Met DORA wil de Europese Unie onder andere waarborgen dat financiële entiteiten bestand zijn tegen, reageren op en snel kunnen herstellen van verstoringen en (cyber)dreigingen. DORA kan aan deze doelstellingen behalen zolang toezichthouders de verordening consequent implementeren en hanteren, en zolang financiële instellingen DORA volledig omarmen en het beschouwen als een noodzakelijke maatregel, niet als een omslachtige compliance-oefening.

 

One size doesn’t fit all

DORA is vanaf 17 januari 2025 in alle 27 EU-lidstaten van kracht. Het stelt een uniform ICT-risicobeheerkader vast voor de financiële dienstverleningssector. DORA standaardiseert hoe financiële entiteiten cybersecurity-incidenten rapporteren, hoe ze digitale operationele veerkracht moeten testen en hoe ze cyberrisico’s van derden moeten beheren. DORA erkent dat verschillende financiële subsectoren verschillende niveaus van cybersecurity preparedness hebben en staat een breed scala aan hulpmiddelen en acties toe om compliance te realiseren. Deze aanpak is nutting om de veerkracht te verbeteren voor verschillende soorten financiële dienstverleners, maar dit is slechts de eerste stap.

DORA moet regelmatig beoordeeld en geüpdatet worden

De implementatie van DORA wordt aangestuurd door de European Supervisory Authorities, national competent authorities (NCA’s) op lidstaatniveau en de Europese Commissie. Om progressieve verbeteringen in veerkracht in de hele Unie te waarborgen, is het noodzakelijk dat deze instanties de snelheid van technologische innovatie bijbenen. Het is van groot belang dat NCA’s DORA op basis van deze technologische innovaties consistent blijven evalueren en handhaven, want veel financiële entiteiten opereren over nationale grenzen heen en cyberdreigingen kennen geen grenzen. Inconsistente DORA-handhaving betekent dat financiële entiteiten resources moeten vrijmaken om verschillende compliance-maatregelen te begrijpen en na te leven. Deze resources zouden anders gebruikt kunnen worden om het beveiligingsniveau te vergroten en cyberaanvallen te voorkomen. Bovendien kunnen inconsistente cybersecurityvereisten per land ertoe leiden dat entiteiten inconsistente beveiligingsmaatregelen implementeren, waardoor cybercriminelen beter misbruik kunnen maken van blootgestelde aanvalsoppervlakken. Uiterlijk in 2028 moet de Europese Commissie een evaluatie uitvoeren en een rapport indienen bij het Europees Parlement en de Raad over de doeltreffendheid van DORA.

Financiële organisaties moeten DORA vooral zien als kans

De beste manier voor IT-teams om te voldoen aan DORA is allereerst om hun IT-omgeving te vereenvoudigen. Compliance is al best ingewikkeld en zal alleen maar ingewikkelder worden als organisaties nieuwe oplossingen blijven toevoegen aan hun toch al grote technologiestacks. In plaats van wetgeving zoals DORA te zien als een eenmalige afvinkoefening, moeten teams proberen te begrijpen waar ze assets kunnen vereenvoudigen en consolideren om een beter overzicht te creëren van hun infrastructuur, waardoor ze elk nieuw beleid effectief kunnen implementeren.

Deze eenvoud zou ook moeten gelden voor hun leveranciers. In plaats van meer dan dertig security-leveranciers voor verschillende firewalls en VPN-oplossingen te gebruiken, zouden organisaties hun portfolio moeten beperken tot leveranciers die alle apps en oplossingen via één centrale oplossing kunnen uitvoeren. Hierdoor wordt het ook mogelijk om een zero trust-perspectief te implementeren. Zero trust voorkomt dat cybercriminelen zich lateraal door de organisatie bewegen en beperkt de potentiële impact van een cyberaanval.

 

Nu cybercriminelen blijven innoveren en de manier waarop ze kritieke sectoren aanvallen blijven ontwikkelen, is regelgeving die de beveiligingsinfrastructuur en veerkracht verbetert belangrijker dan ooit. Met DORA kunnen IT-leiders een grotere stem krijgen binnen de C-suite en de investering krijgen die nodig is om een sterke beveiligingsbasis te creëren  waarop ze kunnen innoveren en hun organisaties vooruit kunnen helpen. Het uiteindelijke doel van security-regelgeving zou moeten zijn om de veerkracht te verbeteren, niet om checklists af te vinken.