Waarom DORA van strategisch belang is voor IT-leveranciers
Waarom DORA van strategisch belang is voor IT-leveranciers
Net als financiële instellingen moet de gehele kritieke uitbestedingsketen per 17 januari 2025 voldoen aan de eisen van de Digital Operational Resilience Act (DORA). Met als doel de cyberweerbaarheid van de financiële sector te verhogen, brengt DORA een aantal eisen met zich mee die ook impact heeft op IT-leveranciers. Dat gaat onder andere over veranderingen in contractuele eisen, maar ook de verantwoording op grond van interne beheersing. In dit artikel worden de gevolgen van DORA voor IT-leveranciers beschreven en hoe hier effectief op kan worden ingespeeld.
De inmiddels gepubliceerde verordening geeft inzicht in wat financiële entiteiten en hun (IT-)leveranciers te wachten staat. Zo schrijft artikel 28 voor dat financiële entiteiten alleen contractuele overeenkomsten mogen sluiten met (kritieke) IT-leveranciers als zij gebruikmaken van de meest actuele en hoogste normen voor informatiebeveiliging. Ook wordt gesteld dat due-diligenceonderzoeken dienen te zijn uitgevoerd vóór het sluiten van een contractuele overeenkomst.
Na contracteren moeten financiële entiteiten (kritieke) IT-leveranciers monitoren en audits uitvoeren op basis van een risico gebaseerde benadering. Rekening houdend met eventuele geconstateerde zwakheden dienen financiële entiteiten ervoor te zorgen dat contractuele overeenkomsten kunnen worden beëindigd waar nodig.
Dat er veel op IT-leveranciers afkomt is duidelijk. Voldoe je als IT-leverancier niet aan de eisen van DORA, dan bestaat de kans op stagnatie van nieuwe klanten of zelfs het verlies van bestaande klanten. Gezien de technische standaarden (level 2/3) nog niet allemaal definitief zijn en de laatste RTS (art. 30.5: Specification of elements when sub-contracting critical or important functions) m.b.t. IT-leveranciers in juli 2024 definitief wordt, rest een implementatieperiode van circa slechts zes maanden. Toch benadrukt DNB het belang om tijdig te starten met de implementatie van DORA. Maar hoe?
Om instellingen handvatten te bieden hoe te voldoen aan DORA, heeft DNB haar GP IB recentelijk geactualiseerd op basis van de verordening (level 1). In de GP IB worden concrete richtlijnen gegeven hoe om te gaan met relevante onderwerpen op het gebied van informatiebeveiliging. Met betrekking tot third party risk staat beschreven dat (IT)-dienstverleners jaarlijks een assurance verklaring dienen af te geven zoals een ISAE3000 of SOC2 rapport type II, waarbij beheersmaatregelen op het gebied van informatiebeveiliging inzichtelijk worden gemaakt. Enkel ISO27001 certificering is niet langer voldoende.
De meest effectieve oplossing lijkt te liggen in een ISAE3000 rapportage met een mapping naar de GP IB of het SOC2+ raamwerk. SOC2+ geeft de mogelijkheid om andere raamwerken te integreren in het SOC2 raamwerk, bijvoorbeeld ISO27001, NIS2 of NIST. Ook de GP IB leent zich uitstekend om te worden geïntegreerd in het SOC2+ raamwerk, waardoor op een eenvoudige manier kan worden aangetoond hoe de IT-leverancier voldoet aan de eisen van DORA.
NEEM CONTACT OP
Achtergrond Digital Operational Resilience Act (DORA)
De Digital Operational Resilience Act (DORA) is een Europese verordening die bestaande regelgeving vervangt en strenge eisen stelt om de cyberweerbaarheid van de financiële sector te verhogen. Het aanpakken van risico’s rondom uitbesteding, ook wel third party risk genoemd, die ten grondslag ligt aan de stabiliteit van de financiële sector is een belangrijke pijler van DORA.De inmiddels gepubliceerde verordening geeft inzicht in wat financiële entiteiten en hun (IT-)leveranciers te wachten staat. Zo schrijft artikel 28 voor dat financiële entiteiten alleen contractuele overeenkomsten mogen sluiten met (kritieke) IT-leveranciers als zij gebruikmaken van de meest actuele en hoogste normen voor informatiebeveiliging. Ook wordt gesteld dat due-diligenceonderzoeken dienen te zijn uitgevoerd vóór het sluiten van een contractuele overeenkomst.
Na contracteren moeten financiële entiteiten (kritieke) IT-leveranciers monitoren en audits uitvoeren op basis van een risico gebaseerde benadering. Rekening houdend met eventuele geconstateerde zwakheden dienen financiële entiteiten ervoor te zorgen dat contractuele overeenkomsten kunnen worden beëindigd waar nodig.
Gevolgen van DORA voor IT-leveranciers
De Nederlandsche Bank (DNB) benadrukt dat financiële entiteiten aantoonbaar dienen te maken dat ICT-risico’s over de gehele ICT-uitbestedingsketen(s) worden beheerst. Met andere woorden: financiële entiteiten kunnen alleen aan DORA voldoen als hun (kritieke) IT-leveranciers de risicobeheersing van uitbestede diensten inzichtelijk maken en zich hierover verantwoorden. Hierbij ziet DNB dat in de praktijk bestaande assurance verklaringen (ISAE3402, ISAE3000 of SOC2) niet altijd toereikend zijn voor de gehele kritieke uitbestedingsketen.Dat er veel op IT-leveranciers afkomt is duidelijk. Voldoe je als IT-leverancier niet aan de eisen van DORA, dan bestaat de kans op stagnatie van nieuwe klanten of zelfs het verlies van bestaande klanten. Gezien de technische standaarden (level 2/3) nog niet allemaal definitief zijn en de laatste RTS (art. 30.5: Specification of elements when sub-contracting critical or important functions) m.b.t. IT-leveranciers in juli 2024 definitief wordt, rest een implementatieperiode van circa slechts zes maanden. Toch benadrukt DNB het belang om tijdig te starten met de implementatie van DORA. Maar hoe?
Oplossing ligt in toepassing Good Practice Informatiebeveiliging van DNB
De belangrijkste oplossing ligt in de toepassing van de DNB Good Practice Informatiebeveiliging 2023 (GP IB) en het herzien van bestaande assurance verklaringen aan de hand hiervan.Om instellingen handvatten te bieden hoe te voldoen aan DORA, heeft DNB haar GP IB recentelijk geactualiseerd op basis van de verordening (level 1). In de GP IB worden concrete richtlijnen gegeven hoe om te gaan met relevante onderwerpen op het gebied van informatiebeveiliging. Met betrekking tot third party risk staat beschreven dat (IT)-dienstverleners jaarlijks een assurance verklaring dienen af te geven zoals een ISAE3000 of SOC2 rapport type II, waarbij beheersmaatregelen op het gebied van informatiebeveiliging inzichtelijk worden gemaakt. Enkel ISO27001 certificering is niet langer voldoende.
De meest effectieve oplossing lijkt te liggen in een ISAE3000 rapportage met een mapping naar de GP IB of het SOC2+ raamwerk. SOC2+ geeft de mogelijkheid om andere raamwerken te integreren in het SOC2 raamwerk, bijvoorbeeld ISO27001, NIS2 of NIST. Ook de GP IB leent zich uitstekend om te worden geïntegreerd in het SOC2+ raamwerk, waardoor op een eenvoudige manier kan worden aangetoond hoe de IT-leverancier voldoet aan de eisen van DORA.
IT-leveranciers: ga in gesprek met (financial services) klanten
IT-leveranciers dienen op korte termijn in overleg te gaan met hun (Financial Services) klanten over de aard van dienstverlening en over welke (IT) risico’s zij in relatie tot DORA zekerheid wensen. Deze wensen moeten worden vertaald naar interne beheersingsmaatregelen die passen bij de cultuur en werkwijze van de IT-leverancier. Door deze beheersingsmaatregelen onderhoudsvriendelijk op te stellen en te integreren in een integraal risico en controle raamwerk, kan een IT-leverancier DORA met vertrouwen tegemoet zien.Meer informatie
Heeft u vragen over dit artikel of wilt u geheel vrijblijvend eens doorpraten met één van onze specialisten? Neem dan gerust contact op via onderstaande button.NEEM CONTACT OP