Als verzekeraar ben je meer en meer afhankelijk van digitale processen waardoor de risico’s op cyberaanvallen toenemen. Daarom introduceert de Europese Commissie nieuwe regels om de digitale weerbaarheid verplicht te verhogen: Digital Operational Resilience Act (DORA). Up to date blijven over de ontwikkeling van nieuwe cybersecurityregels binnen de DORA en het voorbereiden hierop is belangrijk. Niet alleen voor jou, maar ook voor jouw IT (security) partner om hierin te kunnen ondersteunen. Hoe bereid jij je voor? En hoe doen wij dit als InSpark samen met Microsoft?
In 2 blogs beantwoorden we de meestgestelde vragen. Vorige week deelden we deel 1 en vandaag is het tijd voor deel 2. Wil je direct volledig bijgepraat worden over de DORA en gevolgen voor verzekeraars? Scroll dan naar onder en bekijk het webinar waarin experts van InSpark en Microsoft je bijpraten.
Vraag 11: DORA is niet alleen direct van toepassing op financiële instellingen, maar ook op de kritieke ICT-dienstverleners die diensten leveren aan financiële instellingen. Wat wordt bedoeld met een kritieke dienstverlener?
Bij het bepalen of een dienstverlener kritiek is, wordt gekeken naar de relevantie van de diensten voor de financiële sector, de afhankelijkheid van de financiële sector van de diensten en de vervangbaarheid van de dienstverlener. Onder andere de grotere cloudserviceproviders worden verwacht als kritiek te worden aangemerkt, maar het is niet strikt beperkt tot cloudserviceproviders.
Vraag 12: Is Microsoft één van deze kritieke dienstverleners?
Dat kunnen we nog niet met zekerheid zeggen, maar we bereiden ons al wel voor op de mogelijkheid. We ondersteunen ook hoe DORA verschillende regelgevingen harmoniseert en de weerbaarheid van zowel financiële dienstverleners als ICT-dienstverleners. Het bouwt ook vertrouwen op voor het verdere gebruik van IT-diensten binnen de financiële dienstverlening.
We zijn al begonnen met ons interne nalevings- en implementatieproces om ervoor te zorgen dat we voor de deadline klaar zijn voor de toepassing. In dit opzicht geloven we dat de samenwerking en dialoog met onze klanten en wetgevers essentieel zijn om dit goed te doen. Dus we staan open voor input, specifieke vragen en reflecties. We houden de aanvullende wetgeving en technische normen die nog in het verschiet liggen nauw in het oog en komen direct in actie wanneer en waar nodig.
Wat betreft het mogelijke CTPP (Critical ICT third-party service providers) aanduidingsproces, kan dit pas worden gestart na 17 januari 2025. Dus de daadwerkelijke impact is moeilijk te voorspellen in deze fase, maar we evalueren de mogelijkheid om die aanduiding te krijgen en bereiden ons voor op de implementatie om aan de vereiste eisen te voldoen.
Vraag 13: Hoe bereidt Microsoft zich voor om FSI’s te helpen in het proces richting DORA?
Er zijn vier belangrijke aspecten waarin wij bij Microsoft kunnen helpen als organisatie: ICT-risicobeheer, rapportage van ICT-gerelateerde incidenten, digital operational resilience testing en beheer risico’s ICT-dienstverleners.
- Als we het hebben over ICT-risicobeheer, zet DORA een uitgebreid beheermechanisme op voor ICT-risico’s. Financiële instellingen moeten hieraan voldoen, wat onder andere het identificeren, beschermen, voorkomen, detecteren, reageren en beheren van dergelijke risico’s omvat. We bieden onze klanten een breed scala aan ingebouwde mogelijkheden om hen te helpen dit doel te bereiken, zoals:
- Microsoft 365 Defender, een platform voor beveiligingsbeheerders om hun taken op één plek uit te voeren. Het is een geïntegreerde verdedigingssuite om voorbereid te zijn op, incidenten of inbreuken te isoleren en te herstellen.
- Microsoft Defender for Cloud, een op de cloud gebaseerd platform voor applicatiebeveiliging met beveiligingsmaatregelen om cloudgebaseerde apps te beschermen tegen verschillende cyberbedreigingen en kwetsbaarheden.
- Microsoft Purview Compliance Manager. Het helpt bij het volgen van risico’s voor gegevensbescherming, het beheren van de complexiteit van de implementatie van controles, op de hoogte blijven van voorschriften en certificeringen, en het efficiënt rapporteren van inspanningen aan auditors.
- Wat betreft rapportage van ICT-gerelateerde incidenten, zal DORA de incidentclassificatie standaardiseren en de rapportageprocessen stroomlijnen. Dit leidt tot een meer systematische manier om incidenten te monitoren, te beheersen en erop te volgen. Microsoft stelt FSI’s in staat om aan deze rapportageverplichtingen te voldoen met tools in de Defender- en Purview-suites.
- Dan digital operational resilience testing. DORA introduceert digital operational tests die kritieke ICT-systemen en applicaties jaarlijks tot elke drie jaar moeten ondergaan. Dit zal de testmogelijkheden van financiële instellingen verbeteren, waardoor tijdig herstel en bedrijfscontinuïteit worden bevorderd. We faciliteren klanten hier al mee via ons penetration testing programma genaamd Microsoft Cloud Penetration Testing Rules of Engagement.
- Ten slotte, het beheer van risico’s via ICT-dienstverleners. De vereisten voor DORA’s third-party risk management zijn behoorlijk uitgebreid.
- Dit omvat een aantal contractuele bepalingen die aanwezig moeten zijn in ICT-uitbestedingsovereenkomsten binnen de tweejarige implementatieperiode. Wat voor soort bepalingen precies vereist zijn, zal in de loop van de tijd worden verduidelijkt door wat de DORA-regelgeving de Regulatory Technical Standards noemt, uitgegeven door de aangewezen Europese toezichthoudende autoriteiten.
- Dit betekent dat FSI’s meer werk op hun bord zullen krijgen bij samenwerking met externe dienstverleners. Je krijgt te maken met strengere verplichtingen en strengere eisen voor risicobeoordeling van alle contracten die de levering van kritieke en belangrijke functies ondersteunen.
- Microsoft maakt biedt al contractsvormen waarmee FSI’s kunnen voldoen aan de belangrijkste eisen van de EBA (European Banking Authority), EIOPA (European Insurance and Occupational Pensions Authority) en ESMA (European Securities and Markets Authority) die van toepassing zijn op cloud-uitbesteding. We herzien deze contracten proactief gedurende de implementatieperiode van de DORA, met als duidelijk doel eventuele noodzakelijke wijzigingen ruim voor de deadline door te voeren.
Vraag 14: Een afgeleide van de vierde pijler is dat er toezicht is op kritieke aanbieders van ICT-diensten. Wie is verantwoordelijk voor het uitvoeren van dit toezicht? En wat betekent dit voor een dienstverlener die als kritiek wordt geclassificeerd?
Leveranciers van ICT-diensten die als kritiek zijn aangemerkt, worden rechtstreeks gecontroleerd door EBA (European Banking Authority), ESMA (European Securities and Markets Authority) of EIOPA (European Insurance and Occupational Pensions Authority), afhankelijk van het deel van de financiële markt waarin de dienstverlener actief is.
Zoals gezegd moet elke kritische IT-dienstverlener voldoen aan DORA. Dit betekent dat je een fit-gap analyse moet uitvoeren om te achterhalen in hoeverre je voldoet aan de DORA. Eventuele verschillen moeten worden aangepakt en opgelost. Zo niet, dan zal de FSI klant het contract moeten beëindigen.
Vraag 15: Hoe kan een verzekeraar zich voorbereiden op de DORA-wetgeving?
DORA zal controles invoeren die cyber resilience maatregelen verplicht stellen. Dit brengt ons bij de technologieoplossingen van Microsoft. Microsoft Defender, Azure en de Microsoft Purview-suite stellen verzekeraars in staat het Zero Trust-framework te adopteren en te voldoen aan de DORA-regelgeving. Hiermee worden apparaten, identiteiten, apps en gegevens binnen de organisatie gedekt.
Vanuit het perspectief van een organisatie vereist dit een holistische benadering voor het ontwerpen, implementeren en onderhouden van deze componenten. Compliance monitoring met behulp van de Compliance Manager stelt de organisatie in staat op de hoogte te blijven van regels en voorschriften, en te zien welke nieuwe maatregelen kunnen worden genomen. Als je werkzaam bent bij een FSI en moet voldoen aan DORA, is dit het moment om te kijken naar het Zero Trust-framework en hoe Microsoft cloudtechnologie dit ondersteunt. Vergis je niet – hoewel de technologie geavanceerd is, is dit niet 1-2-3 geïmplementeerd. Je moet een holistische oplossing creëren waarin deze technologieën samenwerken om (bijna) autonoom incidenten te detecteren en erop te reageren.
Vraag 16: Wat kunnen InSpark en Microsoft doen om verzekeraars te helpen bij het voorbereiden op de DORA?
InSpark heeft een toegewijd Cloud Security Center (SOC) dat gebruikmaakt van geavanceerde Microsoft-componenten. We kunnen elke beveiligingsdreiging detecteren en automatisch reageren zodra deze zich voordoet. Dit is een “as a service” oplossing.
Vanuit een consultancy rol, en met gebruikmaking van de huidige wet- en regelgeving, kunnen we FSI’s helpen cyber resilience te verbeteren door het ontwikkelen en implementeren van de Microsoft-suite oplossingen. We beginnen met het beoordelen van de huidige omgeving op het gebied van beveiliging en compliance en stellen een roadmap/backlog op om systematisch de componenten binnen het Zero Trust-framework aan te pakken.