DORA, van naleving naar een risicogebaseerde aanpak. Het Executive Committee is nu primair verantwoordelijk voor het bepalen van deze strategie… legt Kris Lovejoy, van Kyndryl, uit.
NIS2 wordt van kracht op 17 oktober 2024 en DORA op 17 januari 2025. NIS2 is een richtlijn, terwijl DORA (Digital Operational Resilience Act) een verordening is. Op het eerste gezicht is er geen verband. Maar dat is er wel. De zorg voor veerkracht is dezelfde.
“Met DORA moeten de jaarverslagen van openbare bedrijven hun risicostrategie en bestuur op het gebied van cyberbeveiliging openbaar maken, inclusief de rol van hun raad van bestuur bij het beheren van aanzienlijke cyberrisico’s”, zegt Kris Lovejoy, Global Security and Resiliency Leader, Kyndryl.
Evenzo legt DORA de eindverantwoordelijkheid voor het risicobeheer en de operationele veerkrachtstrategie voor informatie- en communicatietechnologie bij de raden van bestuur van bijna alle gereguleerde financiële dienstverleners in de Europese Unie. In de praktijk betekent dit dat raden van bestuur meer verantwoordelijkheid moeten nemen voor het toezicht op cyberbeveiligingsrisico’s, inclusief het waarborgen van de naleving van de technische en beleidsmatige vereisten van de verordening.
Voorbereiding op de DORA-verordening
Gezien het grote aantal bedreigingen, regels en beschermingsmaatregelen is het voor bedrijven gemakkelijk om zich overweldigd te voelen bij het inzetten van hun cyberbeveiliging. “Denk bij bescherming aan hygiëne, niet aan de technologische wedloop”, adviseert Kris Lovejoy. Het eerste advies is om “precies te weten welke technologieën zijn ingezet, wat betekent dat je krachtige inventarisatiesystemen moet gebruiken. Zorg er vervolgens voor dat ze up-to-date, beschermd en goed bewaakt zijn. En ten slotte, zorg voor een mechanisme om ze te herstellen in het geval van een probleem.
Hoewel sommige organisaties cyberbeveiliging misschien niet zo serieus nemen als andere, zullen bedrijven in veel sectoren ervoor moeten zorgen dat hun beveiligingsstandaarden klaar zijn voor de nieuwe EU-wetgeving.
Volgens Kris Lovejoy zal DORA organisaties aanmoedigen om een holistische kijk te hebben op cyberbeveiligingsrisico’s. “De verordening verplicht organisaties om een raamwerk op te zetten dat ervoor zorgt dat de juiste controles en investeringen aanwezig zijn om risico’s te beperken en herstel te garanderen… wat in feite cyberweerbaarheid is!”
Overweeg de toeleveringsketen
DORA vereist ook een mechanisme voor het detecteren van, reageren op en informeren van de relevante instanties over een incident wanneer dit een bepaald niveau bereikt. Bedrijven moeten in staat zijn om redelijke controles uit te voeren om dit kader te beheren.
Ook zullen organisaties moeten nadenken over cyberbeveiliging van de toeleveringsketen, wat Kris Lovejoy beschrijft als een “belangrijke en relatief nieuwe vereiste”, vanwege het aantal kwaadwillende actoren dat kwetsbaarheden in de toeleveringsketen “in wezen als een paard van Troje” gebruikt om organisaties binnen te dringen.
DORA vereist een strengere controle van toeleveringsketens, inclusief onderaannemingspartners zoals Kyndryl, die essentiële partners zijn voor deze bedrijven en organisaties, om ervoor te zorgen dat ze geen risico vormen.
5 tips om te anticiperen op cyberbedreigingen, zich ertegen te beschermen, hun impact te weerstaan en kritieke IT-omgevingen snel te herstellen
- Maak de raad van bestuur bewust en betrek het bedrijf er vanaf het begin bij – Opkomende cyberbeveiligingsregels vereisen een engagement op directieniveau. Daarom is dit niet langer een tijd voor silo’s. Cyberbeveiliging is geen nichekwestie. Het is een zaak van iedereen, inclusief de raad van bestuur en het management.
- Creëer een MVC (Minimum Viable Company) – De Minimum Viable Company wordt gedefinieerd als het minimum aantal bedrijfsservices dat een organisatie nodig heeft om een vooraf bepaald niveau van functionaliteit te handhaven. Een organisatie kan tientallen bedrijfsservices hebben, maar het is noodzakelijk dat alleen de services die als missiekritisch zijn gedefinieerd in de MVC worden opgenomen. Het is belangrijk om deze visie voor het bedrijf te ontwikkelen, omdat dit de reikwijdte en complexiteit van de turnaround inspanningen zal bepalen.
- Inventariseer en bepaal de risico’s – Organisaties met een groot en complex IT-landgoed moeten weten welke bedrijfsmiddelen ze hebben, welke maatregelen ze nodig hebben om ze te beschermen en hoe groot de kans is op een poging om ze per functie te verstoren. Met andere woorden, identificeer en bescherm de achilleshiel van de organisatie.
- Ontwikkel een crisismanagementplan en verstoringspraktijken – Nu is het tijd om te anticiperen en je voor te bereiden op het onvermijdelijke. Bij cyberaanvallen is het niet de vraag of, maar wanneer.
- Ga over op een Zero Trust raamwerk en werk de cyberweerbaarheidsstrategie regelmatig bij – Zero Trust houdt in dat toegangsbeslissingen per geval worden genomen. Elke gebruiker, applicatie, computer, enz. krijgt de minimale toegang en machtigingen die nodig zijn om zijn rol te vervullen.