Risicobeheer
ICT-risicomanagement is een belangrijk middel om op gestructureerde wijze ICT-risico’s te detecteren en te beheersen. DORA beschrijft zowel de procesmatige kant van risicobeheer, als de uitwerking in technische maatregelen.
De vereisten worden in de verordening beschreven in hoofdstuk II (artikel 5 t/m 16). In deze artikelen wordt onder andere ingegaan op het ICT risk management framework, Business Continuity Management (BCM) en de scholing en ontwikkeling van medewerkers op het gebied van ICT-beveiliging en digitale operationele weerbaarheid.
Naast de beschreven vereisten in de verordening, worden een aantal onderwerpen verder uitgewerkt in een Regulatory Technical Standard (RTS). In deze RTS worden zowel het ICT risk management framework als het vereenvoudigd risk management framework nader toegelicht. Hierbij geldt het reguliere framework voor alle ondernemingen, zoals beschreven in artikel 2, lid 1, terwijl het vereenvoudigd kader voor ICT-risicobeheer alleen voor een aantal specifieke typen ondernemingen van toepassing is.
ICT risk management framework (ICT RMF)
In het ICT risk management framework worden onder meer de strategieën, beleidslijnen, procedures en ICT-instrumenten vastgelegd die nodig zijn om alle ICT-activa (ICT assets) en relevante fysieke elementen te beschermen.
Het ICT Risk Management framework dient minimaal één keer per jaar (of periodiek voor micro-ondernemingen) te worden geëvalueerd en aanpassingen aan het framework moeten worden gedocumenteerd. Hierbij wordt het framework continu verbeterd op basis van de lessen die uit de uitvoering en monitoring naar voren zijn gekomen. Tot slot moet het framework periodiek worden onderworpen aan een onafhankelijke audit. De uitkomsten van de audit moeten worden opgevolgd.
Business Continuity Management (BCM)
Business Continuity Management (BCM) op het gebied van IT is van belang om de stabiliteit van de dienstverlening van een onderneming te kunnen waarborgen. DORA schrijft voor dat BCM-plannen periodiek worden getest en dat de benodigde crisiscommunicatie is ingericht.
Deze vereisten worden in artikel 8 t/m 12 van de verordening beschreven:
• Ondernemingen moeten hun ICT-landschap overzichtelijk in kaart brengen. Hiervoor is het van belang dat alle bedrijfsfuncties, taken en verantwoordelijkheden die door ICT worden ondersteund worden geïdentificeerd, geclassificeerd en gedocumenteerd. Hetzelfde geldt voor de ICT-activa en applicaties die deze bedrijfsfuncties ondersteunen.
• Instellingen moeten continu de beveiliging en werking van ICT-systemen controleren. Dit bevordert de bescherming van de ICT-systemen en vermindert de kans op cyberincidenten.
• Ondernemingen kunnen hun ICT-risico’s op ICT-systemen verder beperken door ICT-beveiligingsinstrumenten, -beleidslijnen en -procedures in te zetten die erop gericht zijn de weerbaarheid, continuïteit en beschikbaarheid van ICT-systemen te waarborgen. Aangezien niet alle incidenten kunnen worden voorkomen, is het van belang dat financiële instellingen over detectiemechanismen beschikken om afwijkende activiteiten zo snel mogelijk te detecteren en om zwakke (fysieke) punten te identificeren. Zodra een afwijking is gedetecteerd, dienen instellingen hier op gepaste wijze te reageren.
• Ondernemingen moeten een ICT-bedrijfscontinuïteitsbeleid opstellen en uitvoeren. In dit beleid zijn regelingen, plannen, procedures en mechanismen opgenomen die er onder andere op toe zien dat de continuïteit van kritieke functies wordt gewaarborgd, ICT-incidenten op een goede manier en met minimale schade worden opgelost en dat alle betrokken interne en externe stakeholders op de hoogte worden gebracht van het incident dat zich heeft voorgedaan.
In de RTS worden enkele onderwerpen rondom BCM, zoals het testen van het BCP en het respons- en herstelplan, verder uitgewerkt. Zie ook de verdere uitwerking van de RTS.
Reactieve maatregelen
Naast preventie spelen ook reactieve maatregelen een belangrijke rol. Zo vereist DORA dat ondernemingen detectiemechanismen inrichten, evenals processen en technieken voor de afhandeling van gedetecteerde afwijkingen. Belangrijk onderdeel hiervan is ook de inrichting van back-ups, voor het geval dat risico’s zich toch manifesteren.
In het geval dat een ICT-gerelateerd incident plaatsvindt, is het belangrijk dat wordt onderzocht wat de verstoring heeft veroorzaakt en welke verbeteringen moeten worden doorgevoerd om herhaling van de verstoring te voorkomen.
Daarnaast is het belangrijk dat ondernemingen over crisiscommunicatieplannen beschikken om in het geval van ernstige ICT-incidenten adequaat te handelen. Hieronder valt onder meer het op verantwoorde wijze kenbaar maken van het kwetsbaarheden aan het personeel, cliënten en ander direct betrokkenen.
Scholing en bewustwording
Medewerkers spelen een belangrijke rol in de uitvoer van het IT-beleid. DORA zet daarom ook in op de ontwikkeling van IT-bewustwordingsprogramma’s, waarbij rekening moet worden gehouden met de verschillen in werkzaamheden van medewerkers.
Wat betreft scholing en ontwikkeling is het van belang dat ondernemingen over voldoende capaciteiten en personele middelen beschikken om informatie te verzamelen over kwetsbaarheden, cyberdreigingen en ICT-gerelateerde incidenten. Hierbij dienen financiële entiteiten rekening te houden met technologische ontwikkelingen, de resultaten van uitgevoerde tests op digitale operationele weerbaarheid en ICT-incidenten die zich hebben voorgedaan.
Verdere uitwerking van de RTS
Een aantal onderwerpen uit de RTS lichten we hier verder toe. Deze onderwerpen zijn een verdere uitwerking van artikel 15 in de verordening.
Vereenvoudigd kader
In art. 16 wordt een vereenvoudigd kader voor ICT-risicobeheer beschreven welke van toepassing zijn op een aantal uitgezonderde instellingen.