Als verzekeraar ben je meer en meer afhankelijk van digitale processen waardoor de risico’s op cyberaanvallen toenemen. Daarom introduceert de Europese Commissie nieuwe regels om de digitale weerbaarheid verplicht te verhogen: Digital Operational Resilience Act (DORA). Up to date blijven over de ontwikkeling van nieuwe cybersecurityregels binnen de DORA en het voorbereiden hierop is belangrijk. Niet alleen voor jou, maar ook voor jouw IT (security) partner om hierin te kunnen ondersteunen. Hoe bereid jij je voor? En hoe doen wij dit als InSpark samen met Microsoft?
In 2 blogs beantwoorden we de meestgestelde vragen. Vandaag deel 1. Wil je direct volledig bijgepraat worden over de DORA en gevolgen voor verzekeraars? Scroll dan naar onder en bekijk het webinar waarin experts van InSpark en Microsoft je bijpraten.
Vraag 1: Wat is de Digital Operational Resilience Act (DORA)?
De nieuwe DORA-wetgeving maakt het verplicht (en controleerbaar) voor organisaties in de financiële sector om weerbaar te zijn op operationeel gebied en weerstand te bieden tegen eventuele bedreigingen die ernstige verstoringen in de bedrijfsprocessen kunnen veroorzaken. Voor veel organisaties betekent dit een grotere focus op het implementeren van cybersecuritymaatregelen om eventuele aanvallen te detecteren, erop te reageren en ervan te herstellen.
Vraag 2: Op welke gebieden is de DORA van toepassing?
DORA richt zich op het ICT-risicobeheer voor organisaties, met als doel weerbaarder te worden op het gebied van cybersecurity. De gebieden, of pijlers in DORA-termen, zijn ICT-risicobeheer, incidentrapportage, testen van digital operational resilience, risicobeheer van derden en het delen van informatie en intelligentie.
Vraag 3: Zijn er nog andere soortgelijke initiatieven binnen de Europese Unie naast de DORA?
DORA is specifiek gericht is op de FSI (financiële sector). Maar de EU heeft recentelijk ook andere, bredere regelgeving geïntroduceerd. De belangrijkste is de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2), die als doel heeft cybersecurityvereisten te versterken voor middelgrote en grote entiteiten die actief zijn en diensten verlenen in belangrijke sectoren.
Vraag 4: Hoe verhouden deze initiatieven zich tot elkaar?
De DORA zal cyber resilience verplichten. Specifieke maatregelen zijn dan geen aanbevelingen of ‘nice to haves’ meer. Voor de meeste organisaties zal dit een opschaling van reeds genomen maatregelen betekenen.
Bestaande regelgevingen rondom cyber security bieden al wel richtlijnen voor cyber resilience en er is veel overlap tussen deze regelgevingen. Echter toonde het Microsoft Digital Defense Report 2022 na onderzoek aan dat veel organisaties nog steeds moeite hebben om minstens het meest basale niveau van cyber resilience te bereiken. Bijvoorbeeld; gegevensverliespreventie is niet geïmplementeerd, er is geen SIEM/SOAR- of EDR-oplossing beschikbaar, multifactor-authenticatie is niet verplicht voor alle accounts en er is geen adoptie van het Zero Trust-model of andere beveiligingsframeworks. De DORA maakt het verplicht om cyber resilience écht op orde te hebben.
Vraag 5: Welke ervaring hebben InSpark en Microsoft met de invoering van nieuwe wetten en regelgevingen voor hun klanten?
Binnen InSpark hebben we een specifiek “Expert Team” dat zich bezighoudt met naleving van Microsoft cloudvoorschriften. We volgen wetten en regelgevingen nauwgezet. Voor bijvoorbeeld Nederlandse overheidsorganisaties zijn we zeer bedreven in het implementeren van de Baseline Informatiebeveiliging Overheid (BIO) en hebben we zelfs een specifiek beoordelingssjabloon gemaakt dat gebruikt kan worden in de Microsoft Purview Compliance Manager.
Vraag 6: De eerste belangrijke pijler van de DORA is Governance en ICT-risicobeheer. Wat wordt hiermee bedoeld?
In het huidige IT-landschap is het verstandig om altijd uit te gaan van een mogelijke cyberaanval, ‘assume breach’. Het is daarom van cruciaal belang om de mogelijke risico’s te identificeren waarmee de organisatie te maken kan krijgen, hoe deze te classificeren en hoe ze te verhelpen.
Tools zoals Insider Risk Management en Defender for Endpoint maken het mogelijk om mogelijke beveiligings- of nalevingsincidenten te detecteren voordat ze onbeheersbaar worden. Customer Key en Double Key encryption zorgen ervoor dat informatie op het hoogst mogelijke niveau versleuteld wordt. Adaptice protection maakt gebruik van het concept van gebruikersrisiconiveaus om specifieke regels voor gegevensverliespreventie toe te passen wanneer dat nodig is. Dit zijn slechts een paar voorbeelden.
Vanuit het perspectief van een organisatie vereist dit een holistische benadering voor het ontwerpen, implementeren en onderhouden van deze tools. Compliance monitoring met behulp van de Compliance Manager stelt de organisatie in staat om op de hoogte te blijven van regels en voorschriften, en om te zien welke nieuwe maatregelen kunnen worden genomen.
Maar organisaties moeten ook verder kijken. Backup-/herstelscenario’s, zowel in Azure als in Microsoft 365, moeten worden aangepakt. Vulnerability management, zowel on-premises als in de cloud, moet aanwezig zijn om eventuele kwetsbaarheden automatisch te verhelpen. Machine learning en kunstmatige intelligentie zijn nodig om de steeds grotere hoeveelheden ongestructureerde gegevens die we dagelijks creëren te beschermen.
Vraag 7: De tweede belangrijke pijler is het rapporteren over ICT-gerelateerde incidenten. Wat houdt dit in?
Deze pijler richt zich op het rapporteren van specifieke incidenten, maar ook op het vermogen om ze te detecteren. Hier komen componenten zoals een SIEM/SOAR (Microsoft Sentinel) en uitgebreide detectie- en responsplatforms zoals de Microsoft Defender-suite van pas. Maar alleen rapporteren is niet voldoende. Automatische herstelmaatregelen met behulp van deze tools zijn net zo belangrijk.
Vraag 8: De derde pijler gaat over het testen van operational resilience. Dit is een breed begrip. Hoe moet dit worden getest?
Deze pijler omvat ook verschillende componenten. Beveiligingstests zouden voor organisaties een tweede natuur moeten worden. Dit kan bijvoorbeeld het testen van applicaties of de nieuwe moderne werkomgeving zijn, maar ook het opnemen van beveiligingstests in een DevOps-scenario. Beveiliging is niet langer een “extra toevoeging”, het is een must.
Het andere onderdeel hiervan is resilience testing. Dit is wat moeilijker. Vulnerability management, maar ook back-up en herstelprocessen en -procedures moeten permanent worden getest. Dit kan worden gedaan als een desktop oefening, maar ook als uitgebreide herstelsimulaties.
Vraag 9: De vierde belangrijke pijler gaat over het beheer van de risico’s van ICT-dienstverleners. Hoe moet hier invulling aan worden gegeven?
Elke organisatie die moet voldoen aan DORA en gebruikmaakt van de diensten van een externe IT-serviceprovider, moet ervoor zorgen dat deze provider kan worden geauditeerd. Als (cloud) serviceprovider kun je verwachten dat auditors organisatieprocessen, NDA’s en meer zullen controleren.
Bij InSpark zijn gewend om te worden geaudit voor specifieke voorschriften, zoals de ISO27001-standaard. Wij zijn gecertificeerd op verschillende regelgevingen en niveaus. We gebruiken state-of-the-art Microsoft-technologie voor zowel onze klanten als onze interne organisatie waarbij we profiteren van het feit dat Microsoft ook geaudit wordt. Maar we zullen er alsnog ook zelf voor moeten zorgen dat we goed omgaan met de bepalingen in DORA wanneer deze beschikbaar worden. Mocht hieruit blijken dat we niet volledig DORA-proof zijn, doen we zo snel mogelijk aanpassingen om aan de nieuwe regelgeving te voldoen.
Vraag 10: Geldt DORA alleen voor nieuwe contracten met ICT-dienstverleners of ook voor bestaande contracten?
Heel eenvoudig: voor het einde van 2024 moeten alle organisaties in de financiële sector en IT-serviceproviders die deze organisaties bedienen, voldoen aan DORA.