DORA bevat vereisten voor een groot scala aan onderwerpen. Deze zijn opgedeeld in de volgende vijf thema’s:

ICT-risicobeheer: van ondernemingen wordt onder andere verwacht dat ze over een raamwerk beschikken voor ICT-risicobeheer waarmee risico’s worden gedetecteerd en gemitigeerd, en dat dit risicobeheer op gepaste wijze wordt vastgelegd. Ook dienen ondernemingen een jaarlijkse risicobeoordeling uit te voeren en de bedrijfscontinuïteit procesmatig in te richten. Het raamwerk moet worden ontwikkeld op basis van de geïnventariseerde IT-assets. Onder dit thema valt ook back-up en recovery, herstel na IT-incidenten, en de inrichting van IT-governance en -organisatie. Als onderdeel van dit laatste punt wordt IT-kennis van bestuurders een integraal onderdeel van personentoetsingen. Dit is een bestaand proces waarbij personen die het beleid van een onderneming (mede) bepalen bij aantreden getoetst worden op betrouwbaarheid en/of geschiktheid.

ICT-gerelateerde incidenten: van ondernemingen wordt verwacht dat ze incidenten en significante cyberdreigingen procesmatig beheren, classificeren en afhandelen. Ook wordt onder andere voorgeschreven dat toezichthouders actief moeten worden geïnformeerd over de afhandeling van kritieke IT-incidenten.

Testen van digitale weerbaarheid: ondernemingen moeten over een programma beschikken voor het testen van hun digitale weerbaarheid. Onderdeel hiervan is het risicogebaseerd uitvoeren van tests op IT-systemen die cruciale of belangrijke functies ondersteunen en het opvolgen van eventuele bevindingen. Denk hierbij aan vulnerability scans, penetratietesten en controles op de fysieke beveiliging van de IT-assets. Hierbij kan gebruik worden gemaakt van interne testers (mits deze voldoen aan de vereisten omtrent objectiviteit en het voorkomen van ongepaste beïnvloeding), of kan externe expertise worden ingeschakeld. Voor ondernemingen van significante omvang worden geavanceerde tests (zoals TIBER1) voorgeschreven.

Beheer van ICT-risico’s van derde aanbieders: binnen dit onderwerp worden de vereisten beschreven voor de beheersing van IT-uitbestedingen, zoals het uitvoeren van risicomanagement en het opnemen van bepaalde contractuele bepalingen (zoals ter ondersteuning van de exit-strategie). Daarnaast zullen aanbieders van IT-diensten die cruciaal zijn voor de Europese financiële sector worden onderworpen aan een Europees toezichtkader. Onder ‘derde aanbieders’ worden onder andere verleners van cloudcomputing, software- en datacentrumdiensten verstaan.

Informatie-uitwisseling over cyberdreigingen en kwetsbaarheden: de verordening beschrijft op welke wijze en onder welke voorwaarden informatie over cyberdreigingen tussen ondernemingen kan worden uitgewisseld.

Ondernemingen kunnen nu al starten met het analyseren van de huidige gap met DORA en het opzetten van daaruit volgende activiteiten

Vanuit DNB, AFM en Norea zijn diverse best-practices en guidances beschikbaar die bedoeld zijn om invulling te geven aan de nodige vereisten op het gebied van riskmanagement, informatiebeveiliging en uitbestedingen

De implementatie van DORA zorgt voor uniformering èn aanscherping op deze vereisten

Organisaties kunnen nu al starten door te borgen dat aan deze bestaande vereisten wordt voldaan.

Op die manier krijgt je inzicht in de bestaande maatregelen en de mate waarin deze voldoen. Op dat moment wordt ook inzichtelijk voor welke vereisten nog geen maatregelen zijn gedefinieerd

Dit inzicht vormt de basis voor een nulmeting, aan de hand daarvan kunnen aanvullende acties gedefinieerd worden

Het voordeel van deze aanpak is dat het gebaseerd is op de huidige risicobeheersing, dat bestaande resultaten worden meegenomen en dat de organisatie ook kan laten zien of en in welke mate wordt voldaan aan de verschillende vereisten

Kijk bij onze whitepapers naar de aanpak die we hebben uitgewerkt voor de implementatie van DORA

Onze aanpak onderscheidt zich door een gestructureerde benadering in verschillende stappen:

1. Inventarisatie van bestaande beheersmaatregelen:
   Startpunt is een grondige analyse van huidige beheersmaatregelen in het kader van DORA.
   
2. Inzicht verschaffen in naleving van bestaande maatregelen:
   Evaluatie van de mate waarin de organisatie al voldoet aan bestaande maatregelen, waarmee een baseline voor verdere analyse wordt vastgesteld.
   
3. Analyse en identificatie van gaps:
   Systematische analyse om discrepanties (gaps) te identificeren tussen de bestaande situatie en de beoogde maatregelen volgens DORA.
   
4. Opstellen van een verbeterplan:
   Ontwikkeling van een gericht verbeterplan waarbij specifieke maatregelen worden gedefiniëerd om de belangrijkste tekortkomingen aan te pakken.
5. Inbedden van sturing op DORA-vereisten:
   Zorgdragen dat de richtlijnen en eisen van DORA worden geïntegreerd in de huidige beheersing.

Deze gestructureerde aanpak biedt niet alleen een helder beeld van de huidige stand van zaken, maar stelt ook concrete acties voor om de naleving van DORA te verbeteren en te borgen in de organisatie.

Cruxer levert een product, het Management Control Framework, die het mogelijk maakt om invulling te geven aan de vereisten in verband met DORA