Vandaag, 17 januari 2025, is het D-Day voor DORA! De Digital Operational Resilience Act, die de digitale weerbaarheid van financiële instellingen in de EU moet versterken, treedt vandaag officieel in werking. DORA stelt strenge eisen aan ICT-risicobeheer, incidentmanagement, cyberbeveiliging en meer. Maar hoe begin je aan zo’n complex compliance traject? Geen paniek, in deze blogpost geven we je een overzicht van de belangrijkste aspecten van DORA en praktische tips om compliant te worden.
Wat is DORA nu precies?
De financiële sector is sterk afhankelijk van technologie en digitale diensten, wat risico’s met zich meebrengt zoals cyberaanvallen, IT-storingen en datalekken. DORA wil deze risico’s beperken en de digitale operationele veerkracht van financiële instellingen versterken. De verordening is van toepassing op een breed scala aan financiële entiteiten, waaronder kredietinstellingen, beleggingsondernemingen, verzekeraars, betalingsinstellingen en aanbieders van cryptoactivadiensten.
DORA stelt eisen op het gebied van ICT-risicobeheer. Financiële entiteiten moeten een uitgebreid ICT-risicobeheersysteem implementeren, inclusief het identificeren, classificeren en beheren van ICT-risico’s. Daarnaast moeten financiële entiteiten procedures opstellen voor het melden, classificeren, beheren en volgen van ICT-incidenten. Ook moeten ze maatregelen nemen om de continuïteit van hun kritieke ICT-systemen en -diensten te waarborgen, zoals het uitvoeren van regelmatige testen en het hebben van een disaster recovery plan. DORA eist ook dat financiële entiteiten de ICT-risico’s die gepaard gaan met het gebruik van ICT-diensten van derde partijen (zoals cloudproviders) identificeren en beheren. Tot slot moeten financiële entiteiten ICT-incidenten en andere relevante informatie rapporteren aan de bevoegde autoriteiten.
Hoe start je met cybersecurity compliance in je bedrijf?
Cybersecurity compliance is geen eenvoudige taak, maar met een gestructureerde aanpak kom je al een heel eind. Hier zijn enkele tips om je op weg te helpen:
- Inventariseer je ICT-assets: Breng in kaart welke ICT-systemen en -diensten je gebruikt en welke gegevens je verwerkt.
- Identificeer de risico’s: Analyseer welke cybersecurity risico’s relevant zijn voor je bedrijf.
- Implementeer beveiligingsmaatregelen: Neem passende technische en organisatorische maatregelen om de risico’s te beperken. Denk hierbij aan firewalls, antivirussoftware, encryptie, toegangscontrole en security awareness trainingen voor je medewerkers.
- Stel een incident response plan op: Beschrijf de stappen die je moet nemen in geval van een cybersecurity incident.
- Controleer je contracten: Zorg ervoor dat je contracten met ICT-dienstverleners voldoende garanties bevatten op het gebied van cybersecurity.
- Sluit een cyberverzekering af: Overweeg om een cyberverzekering af te sluiten om de financiële gevolgen van een cyberincident te dekken.
Cybersecurity is geen puur IT-verhaal!
Het is belangrijk om te beseffen dat cybersecurity niet alleen een IT-verhaal is. Een holistische aanpak is essentieel, met aandacht voor:
- Juridische compliance: Zorg ervoor dat je voldoet aan alle relevante wetgeving, zoals GDPR en NIS2.
- Contractuele veiligheid: Sluit solide contracten af met je leveranciers en klanten.
- Verzekering: Bescherm je bedrijf tegen financiële schade met een cyberverzekering.
- Interne policies en richtlijnen: Stel duidelijke policies en richtlijnen op voor je medewerkers over cybersecurity.
Sirius Legal: Je partner in cybersecurity compliance
Sirius Legal is al enkele jaren zeer actief in cybersecurity advies, samen met verschillende technische partners, waaronder Fox & Fish. Wij bieden een geïntegreerde aanpak die zowel de juridische als de technische aspecten van cybersecurity omvat.
Ben je op zoek naar ondersteuning bij je DORA-compliance traject? Neem dan gerust contact met ons op voor een vrijblijvende kennismaking en een oriënterend gesprek.
