Hoe DORA de financiële toekomst van ons allemaal versterkt met een nieuwe kijk op operationele veerkracht
Over iets meer dan een half jaar komen we, oog in oog komen te staan met de Digital Operational Resilience Act (DORA). De nieuwste poging om diensten met elkaar te verweven.
DORA streeft ernaar de gefragmenteerde digitale waarborgen te verenigen
Hoe groot en ingewikkeld ook, DORA is een nieuw kader dat is opgesteld om vooral de digitale operationele veerkracht te versterken.
Op 17 januari volgend jaar, moeten we zo in staat zijn te bewijzen en in de praktijk te brengen dat we verstoringen of bedreigingen kunnen voortkomen, weerstaan, erop reageren en ervan te herstellen.
Hoewel de financiële dienstverlening nog steeds een van de sterkst gereguleerde en streng gecontroleerde sectoren ter wereld is, is het misschien ook wel een van de snelst evoluerende. En daarmee moet elke poging om een nieuwe manier van doen te introduceren zeer berekend, breed toepasbaar en grondig doordacht zijn.
Het concept werd met name voor het eerst op de agenda gezet, toen de Europese Commissie het belang benadrukte van een operationeel veerkrachtige financiële sector, evenals de potentiële gevolgen van de besmetting van ICT-gerelateerde verstoringen, cybercriminaliteit en andere digitale gevaren.
Dit werd gevolgd door een oproep van de Europese Bankenautoriteit (EBA) voor een coherente aanpak van ICT-risico’s in de financiële sector, met onder meer een effectief raamwerk voor risicobeheer dat tijdige incidentrapportage en risico’s van derden kan ondersteunen. verzachting.
In september 2020 werd het eerste ontwerp van DORA gepubliceerd, als onderdeel van het bredere pakket voor digitale financiën, voordat het raamwerk in januari 2023 juridisch bindend werd, met een implementatieperiode van twee jaar.
Nu de implementatieperiode langzaam maar zeker ten einde loopt, hebben bedrijven de opdracht gekregen om de basis te leggen voor een reeks maatregelen gericht op het waarborgen van de continuïteit van ICT-systemen, gezonde integraties van derden en een sector zonder fraude.
Voor DORA betekent digitale operationele veerkracht eenvoudigweg “het vermogen van een financiële entiteit om haar operationele integriteit en betrouwbaarheid op te bouwen, te verzekeren en te herzien door, direct of indirect, door gebruik te maken van diensten die worden geleverd door externe ICT-dienstverleners, de het volledige scala aan ICT-gerelateerde capaciteiten die nodig zijn om de veiligheid te garanderen van de netwerk- en informatiesystemen die een financiële entiteit gebruikt, en die de voortdurende levering van financiële diensten en de kwaliteit ervan ondersteunen, ook tijdens verstoringen”.
De implementatie van deze maatregelen is er niet alleen op gericht om het voor financiële toezichthouders gemakkelijker te maken om specifieke zwakke punten in de sector op te sporen, maar ook om de middelen te bieden om risico’s te identificeren die buiten de grenzen van de regelgeving komen, met cloud- en andere technologiedienstverleners worden benadrukt in de focus.
Onder DORA moeten financiële bedrijven “een pakket documenten presenteren waaruit blijkt dat ze klaar zijn om te herstellen van verstoring wanneer deze zich voordoen”.
Risicobeheer komt als de eerste van de drie. Hierin onderstreept DORA de oprichting van een raamwerk voor ICT-risicobeheer, dat “strategieën, beleid, procedures, ICT-protocollen en hulpmiddelen moet omvatten die nodig zijn om alle informatiemiddelen en ICT-middelen naar behoren en adequaat te beschermen”, om de continuïteit van de dienstverlening te garanderen. in geval van schade en/of onbevoegde toegang.
DORA benadrukt dat dit raamwerk “passend moet zijn bij de omvang van de operaties”doormiddel van intensieve trainingsprogramma’s, juridische en regelgevende experts inzet en geavanceerde technologische oplossingen implementeert om effectief aan de wettelijke normen te voldoen.”
Het gaat erom waar data voor worden gebruikt en wat de impact kan zijn van het niet beschikbaar zijn van deze data, communicatie en veerkracht. Dit is een zeer bewuste aanpak van de toezichthouders.
Veerkracht heeft alles te maken met de veronderstelling dat een cyberaanval werkelijkheid zal worden, daar kun je niet omheen. En hoe zeker de cyberbeveiligingsprogramma’s zijn, aanvalsscenario’s zullen vruchten afwerpen.
“DORA is dus eigenlijk gebaseerd op de veronderstelling dat de aanval ooit succesvol zal zijn.”
De belofte van continuïteit van de dienstverlening door middel van reputatievoordelen zou veel groter kunnen zijn dan de implementatiekosten die bedrijven maken bij hun voorbereidingen op DORA.
Deze voordelen, zullen zich niet alleen uitstrekken tot de eindgebruikers, maar ook tot partnerschappen met derden.
Derde partijen zullen minder bereid zijn samen te werken als dit niet serieus wordt genomen en er niet wordt gekeken hoe de risico’s in de toeleveringsketen kunnen worden beheerst.
Er valt ongetwijfeld veel te doen om vóór januari volledige naleving van DORA te bewerkstelligen, en hoewel de voorbereidingen ongetwijfeld van bedrijf tot bedrijf zullen verschillen, zullen ze allemaal op het juiste moment te maken krijgen met dezelfde oproep om de problemen op te lossen. Want nu zijn er geen storingen meer en is veerkrachtig zijn de nieuwe naam van het spel.