De Digital Operational Resilience Act (DORA) is gericht op het verbeteren van de weerbaarheid tegen dreigende cyberaanvallen in de financiële sector en is een wetsvoorstel dat nog in de maak is. Het is belangrijk op te merken dat deze wet de bestaande regelgeving niet vervangt, maar aanvult door een kader te bieden voor het beheren van operationele risico's in een digitale omgeving.
Het doel van DORA is om ervoor te zorgen dat financiële instellingen bestand zijn tegen cyberaanvallen door het implementeren van best practices zoals gegevensbescherming en incident response planning. Dit betekent dat bedrijven een plan moeten hebben voor als er een aanval plaatsvindt, zodat ze hun activiteiten kunnen voortzetten terwijl ze herstellen van eventuele schade die door een aanval wordt veroorzaakt.
View: Deloitte’s new rules for DORA compliance
<
Belangrijkste opmerkingen
- DORA heeft als doel de weerbaarheid van financiële instellingen tegen cyberaanvallen te vergroten door een kader voor operationeel risicobeheer op te stellen.
- Alle financiële organisaties moeten een cyberbeveiligingsprogramma implementeren dat regelmatige beoordelingen en planning voor incidenten omvat.
- Naleving van de DORA vereist strenge veiligheidscontroles op de digitale infrastructuur, waaronder versleuteling en controlesystemen.
- Organisaties zijn verplicht om cyberincidenten te melden aan toezichthouders om de beoordeling van kwetsbaarheden te vergemakkelijken en beveiligingsmaatregelen te verbeteren.
- Een robuust risicomanagementplan is essentieel voor het naleven van de DORA en het garanderen van een betrouwbare dienstverlening in de financiële sector.
h2>Watbetekent de Digital Operational Resilience Act (DORA) voor uw bedrijf?
De Digital Operational Resilience Act (DORA) zal grote veranderingen teweegbrengen in de manier waarop financiële dienstverleners omgaan met hun gegevensbeveiligingspraktijken. Onder DORA moeten alle financiële instellingen een cyberbeveiligingsprogramma implementeren dat beleid, procedures en risicobeheeractiviteiten omvat. Dit beleid moet jaarlijks worden beoordeeld door een externe financiële toezichthouder die beoordeelt of het adequaat is op basis van de industrienormen.
Financiële instellingen moeten ook een incident response plan implementeren dat beschrijft hoe ze zullen reageren wanneer er een cyberinbreuk plaatsvindt of wanneer er aanwijzingen zijn dat er in de nabije toekomst een kan plaatsvinden. Dit plan moet een strategie bevatten voor het omgaan met verschillende soorten aanvallen (bijv. phishing scams), evenals procedures voor het herstellen van een aanval.
Vereenvoudig Dora met PowerDMARC!
DORA schetst bepaalde scenario's waarin het van toepassing kan zijn:
Alle organisaties die bijvoorbeeld als dienstverleners direct samenwerken met financiële instellingen en bedrijven, vallen verplicht onder DORA en staan onder direct toezicht van een financiële regelgevende instantie. Dit toezicht zorgt ervoor dat de DORA-voorschriften worden nageleefd om een risicovrije omgeving te behouden voor de verwerking van gevoelige financiële gegevens.
Dit wordt gedaan om te bepalen of de beveiligingsprotocollen en -praktijken van de leverancier voldoen aan de door DORA gespecificeerde normen en of ze een risicovrije omgeving kunnen bieden voor de verwerking van gevoelige financiële gegevens.
Organisaties die niet direct met een financiële instelling werken, kunnen er vrijwillig voor kiezen om de DORA-wet na te leven via een onafhankelijke auditor.
Om te voldoen aan de DORA-regelgeving is het belangrijk dat organisaties een goed uitgewerkt beveiligings- en risicobeheerplan hebben. Dit plan moet maatregelen bevatten zoals regelmatige kwetsbaarheidsbeoordelingen, plannen om op incidenten te reageren en trainingsprogramma's voor medewerkers. Een uitgebreid voorstel met deze maatregelen en de implementatie ervan kan organisaties helpen om DORA-compliance te bereiken en zich te profileren als betrouwbare dienstverleners in de financiële sector.
De DORA-wet: Belangrijkste voorwaarden en doelen
De Digital Operational Resilience Act (DORA) zorgt ervoor dat de financiële sector veilig en veerkrachtig kan opereren. De wet heeft de volgende primaire vereisten:
- Bedrijven moeten een incident response plan hebben dat een gedetailleerde beschrijving bevat van wat een cyberaanval is, hoe werknemers moeten reageren en hoe de activiteiten worden hersteld als er een inbreuk is.
- Bedrijven moeten een cyberbeveiligingsprogramma bijhouden met een beoordeling van de risico's van cyberaanvallen en een actieplan om deze risico's te beperken.
- Bedrijven moeten hun digitale infrastructuur afdoende beveiligen. Deze controles omvatten encryptie, authenticatie, toegangscontroles, audit trails, monitoringsystemen, event management systemen en incident response plannen.
- Bedrijven moeten incidenten melden wanneer ze zich voordoen, zodat toezichthouders hun kwetsbaarheden kunnen beoordelen en aanbevelingen kunnen doen om hun beveiliging te verbeteren.
- Bedrijven moeten een plan hebben om de continuïteit van de dienstverlening te garanderen tijdens eventuele onderbrekingen.
Stap dichter bij DORA-conformiteit met PowerDMARC
Organisaties schalen hun beveiliging op vanwege de DORA-wet, die vraagt om digitale, netwerk- en cloudbeveiliging en e-mailbeveiliging. Aangezien e-mail de basis vormt van de hedendaagse communicatie en het centrale communicatieplatform voor de meeste bedrijven, is het beveiligen van uw e-mailinfrastructuur cruciaal voor het bereiken van DORA-compliance.
PowerDMARC is een multi-tenant SaaS-platform dat uw e-mailkanalen beveiligt door gebruik te maken van een volledig pakket voor e-mailverificatie. We voldoen aan ISO 27001, SOC Type 2 en GDPR en hebben met succes samengewerkt met verschillende financiële organisaties om hun e-mailgegevens en domein te beschermen tegen beveiligingsrisico's.
We helpen je:
- Bescherm je e-mails tegen spoofing en imitatie met DMARC
- Verdedig u tegen cyberafluisteren en man-in-the-middle-aanvallen met MTA-STS
- Controleer de verificatieresultaten van uw e-mail en los forensische incidenten op met DMARC-rapportage
- Blijf onder de SPF-opzoeklimiet om Permerrors met SPF afvlakking
Neem vandaag nog contact met ons op om compliance met uw e-mails te bereiken!