Het ICT-risicokader van DORA: wie is waarvoor verantwoordelijk?

Begrijp de DORA-regelgeving

De Digital Operational Resilience Act schetst een breed en diepgaand kader dat is ontworpen om verschillende ICT-risico's aan te pakken waarmee financiële entiteiten worden geconfronteerd. De regelgeving omvat een breed scala aan aspecten, waaronder ICT-risicobeheer, back-upbeleid, detectiemechanismen, reactie- en herstelprocedures, communicatiestrategieën en meer.

1. ICT risk management framework

De kern van DORA wordt gevormd door het ICT risk management framework. Financiële entiteiten moeten een degelijke, alomvattende en goed gedocumenteerde aanpak opstellen om ICT-risico's efficiënt aan te pakken. Dit framework moet zowel informatie als ICT-activa, waaronder computersoftware, hardware en gevoelige infrastructuren, beschermen tegen ongeoorloofde toegang, schade en gebruik.

Verantwoordelijk voor: Hoger management, Chief Information Officer (CIO), Chief Technology Officer (CTO), IT-beveiligingsteam, Risicomanagementteam

2. ICT-systemen, -protocollen en -tools

Financiële entiteiten moeten geactualiseerde ICT-systemen, -protocollen en -hulpmiddelen gebruiken en onderhouden die passen bij de omvang van hun activiteiten. Deze systemen moeten betrouwbaar zijn, gegevens accuraat en snel kunnen verwerken en technologisch weerbaar zijn voor ongunstige situaties.

Verantwoordelijk voor: IT-afdeling

3. Identificatie en detectie

Om snel afwijkende activiteiten en potentiële bedreigingen te detecteren, moeten financiële entiteiten alle ICT-ondersteunde bedrijfsfuncties, informatiemiddelen en afhankelijkheden identificeren en classificeren. Detectiemechanismen moeten meerdere controlelagen mogelijk maken, alarmdrempels definiëren en incidentresponsprocessen in gang zetten.

Verantwoordelijk voor: IT Security Team, Incident Response Team, IT Operations Team

4. Reactie en herstel

DORA verplicht de implementatie van ICT-beleid voor bedrijfscontinuïteit en respons- en herstelprocedures om de continuïteit van kritieke functies te waarborgen. Deze maatregelen omvatten back-up- en herstelmethoden en veilig gegevensbeheer.

Verantwoordelijk voor: Business Continuity Manager, Incident Response Team, IT Operations Team

5. Communicatie

Financiële entiteiten moeten crisiscommunicatieplannen hebben om belangrijke ICT-gerelateerde incidenten op verantwoorde wijze bekend te maken aan klanten, tegenpartijen en het publiek. Ze moeten ook een intern en extern communicatiebeleid opstellen en ervoor zorgen dat tijdige en relevante informatie wordt doorgegeven aan personeel en belanghebbenden.

Verantwoordelijk voor: Crisiscommunicatieteam, PR-team, hoger management

6. Leren en evolueren

Een leercultuur is essentieel om ICT-risico's effectief te beheren. Financiële entiteiten moeten informatie verzamelen over kwetsbaarheden, cyberbedreigingen en -incidenten analyseren en evaluaties uitvoeren na een incident om verbeteringen aan te brengen.

Verantwoordelijk voor: Incident Response Team, Risk Management Team

7. Vereenvoudigd framework voor in aanmerking komende instanties

Bepaalde kleine en niet-onderling verbonden financiële instellingen zijn vrijgesteld van de uitgebreide DORA-eisen. In plaats daarvan volgen ze een vereenvoudigd framework voor ICT-risicobeheer dat is afgestemd op hun behoeften, waarbij de nadruk ligt op snel en efficiënt risicobeheer met behoud van systeembeveiliging en -veerkracht.