Hoe Mediahuis 23 miljoen klantinteracties personaliseert? Ontdek hun succesformule! Lees meer

DORA: bescherm je organisatie en
digitale veiligheid

Vanaf januari 2025 is de Digital Operational Resilience Act (DORA) van kracht. Wij vertellen wat dit
concreet voor jouw organisatie betekent en hoe je ervoor zorgt dat je op tijd aan alle regels voldoet. 

Ben jij verantwoordelijk voor de digitale veiligheid binnen jouw organisatie? Dan is het van belang dat je op de hoogte bent van de Digital Operational Resilience Act (DORA). Deze nieuwe Europese wetgeving, die vanaf 17 januari 2025 van kracht is, stelt strengere eisen aan de digitale weerbaarheid van financiële instellingen.

Maar wat betekent dit concreet voor jouw organisatie? En hoe zorg je ervoor dat je aan alle regels voldoet? In dit artikel leggen we het uit.

Wat is Digital Operational Resilience Act (DORA)?

We zijn steeds meer afhankelijk van computers en systemen. Een goed voorbeeld hoezeer we ervan afhankelijk zijn, is de wereldwijde CrowdStrike-storing die urenlang veel impact had op o.a. vliegverkeer en ziekenhuizen. Als de technologieën van een bank het laten afweten, kan dat net zo’n grote gevolgen hebben voor klanten, bijvoorbeeld omdat ze lange tijd geen geld kunnen opnemen of overboeken.

DORA is in het leven geroepen om de financiële sector beter te beschermen tegen IT-risico's en cyberaanvallen. Denk aan banken, verzekeringsmaatschappijen en betaaldiensten. Door DORA moeten deze bedrijven, én hun IT-dienstverleners, maatregelen nemen om hun digitale infrastructuur robuuster te maken zodat ze bestand zijn tegen cyberdreigingen en sneller kunnen reageren op IT-incidenten.

De relatie tussen DORA, NIS2 en AVG

DORA bouwt voort op bestaande wetgevingen zoals NIS2-richtlijn (Network and Information Security) en AVG (Algemene Verordening Gegevensbescherming).

Terwijl NIS2 zich richt op de beveiliging van netwerken en informatie, en AVG op de bescherming van persoonsgegevens, legt DORA de nadruk op de veerkracht van financiële instellingen bij IT-storingen. DORA vult de gaten aan die NIS2 en AVG niet volledig dekken, waardoor er een complete aanpak ontstaat voor het waarborgen van de digitale veiligheid.

De relatie tussen DORA, NIS2 en AVG

Hoe je jouw bedrijf klaarmaakt voor DORA in 6 stappen

Om aan DORA te voldoen kunnen bedrijven enkele concrete stappen zetten. Een overzicht van de zes belangrijkste aandachtspunten:

1. Doe een risico-inventarisatie

Identificeer zwakke plekken door de digitale omgeving grondig te onderzoeken en potentiële risico’s op te sporen. Niet alle risico’s zijn even groot. Bepaal welke de grootste impact hebben op de organisatie en concentreer je op deze gebieden.

Voor het identificeren, beheren en structureel aanpakken van IT-risico’s gebruiken veel bedrijven een ICT-risicomanagement framework. In dit framework staat beschreven hoe ze omgaan met het uitvoeren van risicoanalyses en het toepassen van controlemechanismen. Dit framework moet flexibel genoeg zijn om te kunnen inspelen op nieuwe dreigingen en ontwikkelingen.

2. Schrijf een noodplan

Bedenk scenario’s voor situaties die van toepassing kunnen zijn op de organisatie – bijvoorbeeld een computernetwerk dat uitvalt of een DDoS-aanval – en maak een plan om ze aan te pakken.

Een veelgebruikt beheersproces is Business Continuity Management (BCM). Met een BCM-plan zorgen organisaties ervoor dat kritieke bedrijfsprocessen doorgaan tijdens en na een incident. Het beschrijft o.a. back-up- en herstelprocedures, noodvoorzieningen en alternatieve werkplekken.

3. Neem gecoördineerd actie

De gevolgen van verstoringen kunnen ernstig zijn. Daarom is het hebben van een Incident Response Plan geen overbodige luxe.

Met een Incident Response Plan beschrijven bedrijven tot in detail wat er moet gebeuren bij een cyberaanval of systeemuitval, zoals wie ze moeten bellen, welke informatie ze moeten verzamelen en welke maatregelen ze moeten nemen om de schade te beperken.

Hoe je jouw bedrijf klaarmaakt voor DORA: stap 1 t/m 3

4. Communiceer duidelijk en snel

Maak een (crisis)communicatieplan voor het geval er een incident plaatsvindt. Bepaal rollen en verantwoordelijkheden, de te gebruiken communicatiekanalen, wie er geïnformeerd moet worden en welke informatie zij moeten krijgen. Zo communiceert de organisatie duidelijk en snel.

5. Informeer en train medewerkers

Creëer bewustwording door medewerkers te informeren over hoe belangrijk cybersecurity is. Biedt bijvoorbeeld trainingen aan over actuele onderwerpen zoals phishing en het veilig omgaan met bedrijfsgegevens.

Er zijn allerlei bewustwordingsprogramma’s die informeren over cyberdreigingen en het volgen van de juiste procedures. Deze kosten weinig tijd en bieden handige handvatten.

6. Test en beoordeel medewerkers en partners

Voer regelmatig tests uit om te zien hoe goed de beveiligingsmaatregelen werken, zoals het simuleren van aanvallen of het doen van phishing-oefeningen. Gebruik de reacties en resultaten van medewerkers om de beveiliging verder aan te scherpen.

Controleer ook regelmatig of partners en dienstverleners voldoen aan de gestelde beveiligingseisen en leg hun verantwoordelijkheden vast via een Service Level Agreement (SLA).

Hoe je jouw bedrijf klaarmaakt voor DORA: stap 4 t/m 6
Voldoe moeiteloos aan DORA met Invenna

Met de hulp van klanten als Rabobank en Robeco ontwikkelden wij een krachtig platform dat organisaties ondersteunt bij het voldoen aan wet- en regelgeving. Ook voor de strenge eisen van DORA zijn er functies geïntegreerd, waardoor DORA-compliance haalbaar is.

1. Eén centrale dataopslag

Het platform bundelt alle bronnen en systemen in één overzichtelijke omgeving, waardoor relevante gegevens centraal en toegankelijk blijven. Zo hebben onze klanten een compleet overzicht van hun organisatie, genieten ze van de voordelen van een Single Source of Truth (SSOT) en voldoen ze aan auditvereisten.

2. Geautomatiseerde controles

De ingebouwde controles – ook wel een control-framework – zien toe op de volledigheid en nauwkeurigheid van data. Met dit framework zijn bedrijven altijd op de hoogte van potentiële IT-risico’s en de stappen die ze moeten nemen om te voldoen aan alle DORA eisen.

3. Snelle incidentmeldingen en -communicatie

Bij incidenten is snelheid van belang. Het platform meldt IT-incidenten snel en doeltreffend aan toezichthouders en andere betrokkenen. Daarnaast is het mogelijk om e-mailcampagnes op te stellen en automatisch te verzenden, bijvoorbeeld om klanten op de hoogte te stellen.

4. DORA-proof

Invenna is als dienstverlener volledig DORA-compliant, waardoor bedrijven zich geen zorgen hoeven te maken over de juridische aspecten. Wij voldoen aan alle relevante regelgeving en compliance en waarborgen zo de digitale veiligheid van onze klanten.

Hulp nodig met DORA-compliance

Door relevante informatie op één plek te verzamelen en te beheren, bespaar je tijd, verminder je risico's en zorg je ervoor dat jouw organisatie klaar is voor de toekomst.

Wil je meer weten over hoe wij jou kunnen helpen bij het behalen van DORA-compliance? Neem dan contact met ons op.

Neem contact met ons op