Edward Roozenburg: Aandachtspunten voor de sleutelfunctiehouder risicobeheer bij de implementatie van DORA
Edward Roozenburg: Aandachtspunten voor de sleutelfunctiehouder risicobeheer bij de implementatie van DORA
Door Edward Roozenburg, Risk Management Consultant bij Probability & Partners
Het is bijna zover. Vanaf 17 januari is DORA van toepassing. Dat betekent werk voor de sleutelfunctiehouder risicobeheer. Waar moet die zoal op letten?
Op 17 januari moeten alle financiële instellingen voldoen aan de Europese verordening die financiële instellingen verplicht om digitaal weerbaar te zijn: de Digital Operational Resilience Act (DORA). De financiële instellingen waarvoor ik werk, hebben inmiddels een extra bestuursvergadering gepland om de laatste wijzigingen in de beleidsdocumenten tijdig vast te stellen. Dat levert ook werk op voor de sleutelfunctiehouder risicobeheer die de stukken voorziet van een risico-opinie en dit moment ook aangrijpt om andere vragen te stellen over de implementatie.
Proceszaken
Ten eerste kan de sleutelfunctiehouder risicobeheer letten op het proces dat is gevolgd om DORA-compliant te raken. Het juiste proces is geen garantie voor een juiste implementatie, maar faciliteert een degelijke implementatie wel. Hier zijn enkele zaken over het proces waar de sleutelfunctiehouder risicobeheer vragen over kan stellen:
1) Gapanalyse
Is er een gapanalyse uitgevoerd? Is dit gedaan aan de hand van de DORA-artikelen in de hoofdtekst én de onderliggende uitwerkingen in RTS/ITS-en? En waren daarbij de juiste mensen betrokken? Betrokkenen zouden in elk geval de verantwoordelijken voor het risicomanagement, de uitbestedingen, de informatiebeveiliging inclusief afhandeling van ICT-incidenten en de business continuity moeten zijn.
2) Closing the gap
Zijn er actieplannen opgesteld om geïdentificeerde gaps te dichten? En zijn deze daadwerkelijk uitgevoerd?
3) Assurance
Welke assurance is er waaruit blijkt dat de implementatie werkelijk is afgerond? Heeft de controller meegekeken bij het uitvoeren van de actieplannen? Of heeft een andere tweedelijnsfunctie (bijvoorbeeld Compliance) meegekeken en geholpen met de interpretatie van de wettekst? Zijn er rapportages door onafhankelijken opgesteld?
En welke assurance is er voor de toekomst ingericht? Om compliant te blijven moeten er periodiek zaken worden uitgevoerd zoals risicoanalyses op de belangrijke ICT-leveranciers en het identificeren van eventuele nieuwe dreigingen. Wordt periodiek en onafhankelijk getest en gerapporteerd aan het bestuur of deze beheersmaatregelen goed zijn uitgevoerd?
4) Openstaande gaps
Van welke onderdelen is de implementatie nog niet volledig afgerond? En is het risico daarvan bepaald? Zowel voor de informatiebeveiliging als het compliance risico spelen daarbij een rol.
5) Training
Zijn er trainingsprogramma's ontwikkeld en uitgevoerd om bestuur en medewerkers te trainen over DORA en de bijbehorende vereisten? Ook van het bestuur wordt verwacht dat voldoende kennis aanwezig is om risico’s voor de digitale operationele weerbaarheid in te kunnen schatten.
Inhoudelijke zaken
Naast proceszaken kan de sleutelfunctiehouder risicobeheer ook aandacht besteden aan verschillende inhoudelijke zaken waarmee daadwerkelijk de digitale weerbaarheid wordt versterkt. Deze maatregelen zijn opgenomen in beleidsdocumenten die waarschijnlijk al aanwezig waren maar herzien zijn voor DORA. Hieronder volgen enkele belangrijke (herziene) documenten voor DORA en zaken waar de sleutelfunctiehouder op kan letten bij zijn opinie daarbij. Er zijn natuurlijk eindeloos veel inhoudelijke zaken waarop gelet kan worden. Onderstaande is slechts bedoeld als bloemlezing.
1) Risicomanagementbeleid/Risicobeheerbeleid
Over het algemeen hanteren financiële instellingen een generiek risicomanagementbeleid voor het identificeren, analyseren, beoordelen en beheersen van strategische, operationele, financiële en compliance risico’s. Dezelfde aanpak wordt ook gehanteerd voor ICT-risico’s. De sleutelfunctiehouder kan valideren of deze aanpak inderdaad gehanteerd wordt bij het managen van ICT-risico’s, bevragen of deze aanpak voldoet in de praktijk en beoordelen of in het beleid voldoende duidelijk is aangegeven dat het ook van toepassing is op ICT-risico’s.
2) Informatieregister
Het informatieregister bevat een overzicht van alle leveranciers die informatie-assets leveren aan de financiële instelling met de classificatie of de asset bijdraagt aan één van de kritieke of belangrijke processen van de instelling. Als een informatie-asset inderdaad bijdraagt aan een kritiek of belangrijk proces, dan is het voor deze asset ook verplicht om de eventuele onderuitbestedingen in kaart te brengen. Vanwege dit extra werk bestaat er dus een zekere prikkel voor de uitvoeringsorganisatie om de verzameling kritieke of belangrijke processen zo beperkt mogelijk te houden. De sleutelfunctiehouder risicobeheer kan vragen naar de onderbouwing die gebruikt is om bepaalde processen als kritiek of als belangrijk aan te wijzen en deze onderbouwing beoordelen.
3) Incidentmanagement
Het incidentmanagement beschrijft de procedures voor het detecteren, melden en oplossen van ICT-gerelateerde incidenten. Er moet beschreven zijn hoe incidenten worden gedetecteerd, hoe ze worden geclassificeerd, hoe en wanneer ze moeten worden gemeld (intern en extern) en hoe incidenten hersteld moeten worden. Ook moet periodiek bekeken worden of er samenhang is tussen incidenten die wijzen op grotere dreigingen, dan wel of bepaalde incidenten meerdere keren voor zijn gekomen. De sleutelfunctiehouder risicobeheersing kan beoordelen of deze zaken in het beleid zijn opgenomen.
4) Business continuïteitsplan/beleid
Het continuïteitsplan beschrijft de maatregelen die zijn genomen om de continuïteit van kritieke diensten te waarborgen in geval van verstoringen. De sleutelfunctiehouder kan beoordelen of er duidelijke procedures zijn voor het herstellen van normale operaties na een verstoring. Belangrijk is ook dat er zaken zijn vastgesteld over het testen van de herstelmaatregelen. Daarvoor moet onderzocht worden of de maatregelen die bij een calamiteit in werking zouden moeten treden, daadwerkelijk uitgevoerd kunnen worden. Omdat dit direct bijdraagt aan de digitale operationele weerbaarheid van de financiële instelling, is het goed als de sleutelfunctiehouder risicobeheer bekijkt of over het testen inderdaad afspraken zijn gemaakt.
5) Uitbestedingsbeleid
Het uitbestedingsbeleid beschrijft de procedures voor het selecteren, monitoren en evalueren van externe dienstverleners. DORA benadrukt als belangrijk risico bij uitbestedingen de afhankelijkheid van een enkele leverancier. Die moet worden voorkomen. Een incident bij zo’n belangrijke leverancier, zou dan grote gevolgen hebben. Zo benadrukt DORA de aanwezigheid van een multi-vendor-strategie als belangrijke element om de afhankelijkheid van één leverancier te beperken en benadrukt de analyse van het concentratierisico. De sleutelfunctiehouder kan beoordelen of deze punten voldoende zijn geborgd met de uitvoering van het uitbestedingsbeleid. Wordt dit bijvoorbeeld meegenomen in de risicoanalyse die voor elke leverancier moet worden gemaakt?
Conclusie
De implementatie van DORA brengt uitdagingen met zich mee voor besturen en sleutelfunctiehouders risicobeheer. De sleutelfunctiehouder risicobeheer speelt een nuttige rol in dit proces. Door aandacht te besteden aan zowel procesmatige als inhoudelijke zaken, kan de sleutelfunctiehouder bijdragen aan een succesvolle implementatie van DORA en daarmee aan de bescherming van de belangen van de deelnemers en de weerbaarheid van de organisatie. De bestuursleden kunnen bouwen op het oordeel van de sleutelfunctiehouder. Maar ook met bovenstaande aandachtspuntenlijst in de hand, blijft het lastig om te beoordelen of er voldoende zekerheid is. Bestuursleden en sleutelfunctiehouders zijn immers geen cybersecurity specialisten. Zij zijn expert in het gebruiken van hun eigen beoordelingsvermogen en het inroepen van specialisten waar nodig. Ze kunnen niet alles weten van ICT-beheersing. Ze zullen zich dan ook moeten baseren op de informatie die een interne maar wel onafhankelijke expert in ICT-risicobeheersing, de CISO, ze aanreikt. Wat dat betreft is ook de onafhankelijke CISO in een toetsende rol essentieel voor een goede en gebalanceerde implementatie van DORA binnen de risicobereidheid van een organisatie, zoals een pensioenfonds.
Deel dit bericht
Gerelateerde berichten
-
Lees meer over "Dick Kamp: Risicomanagement en context"Dick Kamp: Risicomanagement en context
-
Lees meer over "Edward Roozenburg: Uitzonderingen op registratie onderuitbesteders in DORA?"Edward Roozenburg: Uitzonderingen op registratie onderuitbesteders in DORA?
-
Lees meer over "Bert Leffers: Risk management revisited"Bert Leffers: Risk management revisited
-
Lees meer over "DNB: ICT-risicomanagement onder DORA onderdeel van personentoetsingen"DNB: ICT-risicomanagement onder DORA onderdeel van personentoetsingen
-
Lees meer over "TOBAM: Benefits of autocratic risk mitigation"TOBAM: Benefits of autocratic risk mitigation
-
Lees meer over "Richard Sanders: Over je grenzen heen stappen"Richard Sanders: Over je grenzen heen stappen
-
Lees meer over "Probability & Partners: De uitdagingen van het CP2022-model"Probability & Partners: De uitdagingen van het CP2022-model
-
Lees meer over "DNB: Digitale veiligheid topprioriteit in grimmig geopolitiek klimaat"DNB: Digitale veiligheid topprioriteit in grimmig geopolitiek klimaat
-
Lees meer over "Edward Roozenburg: DORA, bent u al bijna klaar?"
Edward Roozenburg: DORA, bent u al bijna klaar?
-
Lees meer over "Aon: Dekkingsgraden pensioenfondsen dalen"Aon: Dekkingsgraden pensioenfondsen dalen