Probability & Partners: DORA, the final (cybersecurity) frontier

Probability & Partners: DORA, the final (cybersecurity) frontier

Risicomanagement Wet- en regelgeving Technologie
Maurits van den Oever (foto archief Probability & Partners) 980x600.jpg

Door Maurits van den Oever, Quantitative Consultant bij Probability & Partners

De huidige maatschappij is kwetsbaar voor cyberincidenten. Dit is opnieuw gebleken na het incident met de softwarefout van het Amerikaanse CrowdStrike op 18 juli jongstleden. Het incident resulteerde in chaos op luchthavens, overslagbedrijven en andere plaatsen. Het is daarom goed dat regelgevers en toezichthouders hier aandacht aan besteden.

Voor de financiële sector heeft De Nederlandsche Bank (DNB) op het gebied van IT-risicobeheer altijd een voortrekkersrol gespeeld. Met de richtlijn ‘Good Practice Informatie Beveiliging’ (GPIB) heeft DNB een waardevol handvat geboden aan financiële instellingen om cyberrisico's te beperken.

Inmiddels is er op Europees niveau wetgeving gekomen in de vorm van de Digital Operational Resilience Act (DORA). De vraag is hoe deze regelgeving zich verhoudt tot de GPIB. Twee weken geleden kwam DNB met een antwoord: DORA wordt vanaf 17 januari 2025 definitief het wettelijke kader voor operationele weerbaarheid.

Hieruit valt te concluderen dat de Good Practice Informatie Beveiliging (GPIB) niet meer wordt geüpdatet om verder op één lijn te komen met DORA. Ook wordt duidelijk dat de toezichthoudende activiteiten op de GPIB in Q4 2024 worden gestopt. Er wordt immers overgestapt op DORA. Voor de ondernemingen die nog niet zijn begonnen met de implementatie van DORA is het sein helder.

De meeste ondernemingen zijn echter al vergevorderd met de GPIB 2019/2020. Deze is in 2023 geactualiseerd om organisaties te prikkelen om verdere stappen te zetten naar de implementatie van DORA. Hoewel de indeling van het document identiek is gebleven, zijn er voor de meeste controls toch dingen veranderd van GPIB 2019/2020 naar GPIB 2023. De belangrijkste wijzigingen zijn:

  • Het meenemen van de digitale operationele weerbaarheidsstrategie in het risicomanagementframework.
  • Risk-based invulling per control voor verder maatwerk.
  • Business Impact Analyse vormt de basis voor continuïteitsborging van bedrijfsvoering.
  • Verdere uitdieping van de rol van het bestuur, zowel in het algemeen als bij specifieke controls.
  • Verschillende gremia hebben nu de verantwoordelijkheid om zich te ontwikkelen en kennis op het gebied van cyberdreigingen bij te houden.
  • Het invullen van een onafhankelijke informatiebeveiligingsfunctie met een vastomlijnd takenpakket die rechtstreeks rapporteert aan het bestuur.
  • Ten slotte komt er ook aandacht voor kansen en risico’s die samenhangen met technologische ontwikkelingen. Voorbeelden hiervan zijn quantum computing en AI.

Het is dus een goede stap om de implementatie van GPIB 2023 eerst te regelen om dichter bij DORA te komen. Aan de organisaties die moeten voldoen aan DORA, maar nog niet GPIB hebben geïmplementeerd, raad ik aan om de ‘tussenstap’ GPIB 2023 over te slaan. Dit is omdat DORA nu de standaard wordt voor het beheersen van IT- en cyberrisico’s, en omdat die qua eisen verder gaat dan de huidige GPIB.

Wat zijn de gaps?

De meeste organisaties zullen op een redelijk volwassenheidsniveau zijn met GPIB. Voor hen ligt het voor de hand om te beginnen met een gap-analyse om te kijken waar het meeste werk in zit. Het voornaamste verschil is dat GPIB principle-based is, terwijl DORA rule-based is. GPIB zet richtlijnen uiteen voor het implementeren van de controls, terwijl DORA komt met voorgekauwde eisen. Er is dus minder ruimte voor een eigen invulling binnen de DORA-regelgeving.

Andere verschillen zitten in de eisen zelf. GPIB heeft bijvoorbeeld geen specifieke eisen voor kritieke derde partijen. DORA definieert wel specifieke partijen die als kritieke digitale service-providers worden gezien. Op verschillende gebieden zijn de eisen ook verder gespecificeerd. Voorbeelden hiervan zijn derdepartijrisicomanagement en verschillende vormen van weerbaarheidstesten, maar ook het registreren van alle contractuele relaties op het gebied van IT in een specifiek format.

Daarnaast is het zo dat GPIB een good practice blijft, terwijl DORA regelgeving is. Hoewel het niet voldoen aan GPIB kan leiden tot juridische gevolgen, zijn deze bij DORA een stuk concreter geformuleerd. Sterker nog, er staan fikse boetes voor het niet voldoen aan DORA voor de organisaties die in scope zijn. De DORA regelgeving noemt deze boetes zelf ‘evenredig en afschrikkend’.

Maatwerk

Het mechanisme dat wel wat customization biedt is het ‘proportionality principle’ van DORA. Hoe dit precies zal worden toegepast, is niet helemaal duidelijk. De precieze criteria om in aanmerking te komen voor een ingeperkte implementatie zijn niet gedefinieerd, en wat het betekent voor de implementatie van de controls is ook niet duidelijk. Dit past wel iets meer bij de risk-based approach van de controls onder GPIB, dus dat maakt de gaps voor kleinere organisaties meer behapbaar.

Derde partijen

DORA heeft voor organisaties die hun IT-services (grotendeels) hebben uitbesteed ook genoeg implicaties. Het managen van derde partij IT-risico’s krijgt aandacht in GPIB, maar wordt verder uitgewerkt in de lagere niveaus van DORA. Er worden ook specifieke templates voorgeschreven voor het in kaart brengen van alle IT-gerelateerde contractuele overeenkomsten in het informatieregister.

Verder moet er ook genoeg zekerheid bestaan over de operationele weerbaarheid van de service providers. Concreet gezien moeten er addenda worden geschreven voor de contracten of SLA’s van derde partijen over het aantoonbaar maken van de werking van de controls.

Toezichthoudende activiteiten en de Final Frontier

In de Q&A van de laatste GPIB-update wordt de timeline van de toezichthouder geschetst. In de tweede helft van 2024 gaat DNB nog toezicht houden op basis van GPIB 2023, maar daarna zal er overgestapt worden op de Europese regelgeving. De boodschap is duidelijk: DORA is de Final Frontier op het gebied van cybersecurity.