De Digital Operational Resilience Act (DORA) is een wetsvoorstel dat nog in de pijplijn zit en bedoeld is om de weerbaarheid tegen dreigende cyberaanvallen in de financiële sector te verbeteren. Het is belangrijk op te merken dat deze wet de bestaande regelgeving niet vervangt, maar aanvult door een kader te bieden voor het beheer van operationele risico's in een digitale omgeving. 

Het doel van de DORA is ervoor te zorgen dat financiële instellingen cyberaanvallen kunnen weerstaan door best practices te implementeren, zoals gegevensbescherming en incident response planning. Dit betekent dat bedrijven een plan moeten hebben voor het geval een aanval plaatsvindt, zodat zij hun activiteiten kunnen voortzetten en tegelijkertijd kunnen herstellen van eventuele schade die door een aanval is veroorzaakt.

Bekijk: Deloitte's nieuwe regels voor DORA compliance

Wat betekent de Digital Operational Resilience Act (DORA) voor uw bedrijf?

De Digital Operational Resilience Act (DORA) zal grote veranderingen teweegbrengen in de manier waarop financiële dienstverleners omgaan met hun gegevensbeveiligingspraktijken. Onder DORA moeten alle financiële instellingen een cyberbeveiligingsprogramma implementeren dat beleid, procedures en risicobeheeractiviteiten omvat. Dit beleid moet jaarlijks worden beoordeeld door een externe financiële toezichthouder die beoordeelt of het adequaat is op basis van de industrienormen. 

Financiële instellingen moeten ook een incident response plan implementeren waarin wordt beschreven hoe zij zullen reageren wanneer een cyberinbreuk plaatsvindt of wanneer er aanwijzingen zijn dat er in de nabije toekomst een kan plaatsvinden. Dit plan moet een strategie bevatten voor de aanpak van verschillende soorten aanvallen (bv. phishing), alsook procedures voor het herstel na een aanval. 

In de DORA worden bepaalde scenario's beschreven waarin zij van toepassing kan zijn: 

Zo vallen alle organisaties die rechtstreeks met financiële instellingen en ondernemingen werken als dienstverleners, onder de DORA als dwangmaatregel en zouden zij rechtstreeks onder toezicht staan van een financiële toezichthoudende autoriteit.

Dit zou worden gedaan om te bepalen of de beveiligingsprotocollen en -praktijken van de leverancier in overeenstemming zijn met de door het DORA gespecificeerde normen en of zij in staat zijn een risicovrije omgeving te bieden voor de behandeling van gevoelige financiële gegevens.

Organisaties die niet rechtstreeks met een financiële instelling werken, kunnen er vrijwillig voor kiezen om via een onafhankelijke auditor naleving van de DORA-wet te bereiken. 

Om te voldoen aan de DORA-normen is het belangrijk dat organisaties beschikken over een goed uitgewerkt plan voor beveiliging en risicobeheer. Dit plan moet maatregelen omvatten zoals regelmatige kwetsbaarheidsbeoordelingen, plannen om op incidenten te reageren en opleidingsprogramma's voor werknemers. Een uitgebreid voorstel met deze maatregelen en de uitvoering ervan kan organisaties helpen de DORA na te leven en zich te profileren als betrouwbare dienstverleners in de financiële sector.

De DORA-wet: Belangrijkste voorwaarden en doelstellingen 

De Digital Operational Resilience Act (DORA) zorgt ervoor dat de financiële sector op een veilige en veerkrachtige manier kan opereren. De wet bevat de volgende primaire eisen:

1. Bedrijven moeten een plan hebben voor de reactie op incidenten, met een gedetailleerde beschrijving van wat een cyberaanval inhoudt, hoe werknemers moeten reageren en hoe de activiteiten worden hersteld als er een inbreuk is.
2. Bedrijven moeten een cyberbeveiligingsprogramma bijhouden dat een beoordeling omvat van de risico's van cyberaanvallen en een actieplan om die risico's te beperken.
3. Bedrijven moeten hun digitale infrastructuur aan passende beveiligingscontroles onderwerpen. Deze controles omvatten encryptie, authenticatie, toegangscontroles, audit trails, monitoringsystemen, event management systemen, en incident response plannen.
4. Bedrijven moeten incidenten melden wanneer zij zich voordoen, zodat regelgevers hun kwetsbaarheden kunnen beoordelen en aanbevelingen kunnen doen om hun beveiliging te verbeteren.
5. Bedrijven moeten een plan hebben om de continuïteit van de dienstverlening te waarborgen bij eventuele onderbrekingen.

Stap dichter bij DORA-compliance met PowerDMARC

Organisaties schalen hun beveiliging op vanwege de DORA-wet, die vraagt om digitale, netwerk- en cloudbeveiliging en e-mailbeveiliging. Aangezien e-mail de basis vormt van de hedendaagse communicatie en het centrale communicatieplatform voor de meeste bedrijven, is het beveiligen van uw e-mailinfrastructuur cruciaal voor het bereiken van DORA-compliance. 

PowerDMARC is een multi-tenant SaaS-platform dat uw e-mailkanalen beveiligt door gebruik te maken van een full-stack e-mailverificatiepakket. Wij zijn ISO 27001, SOC Type 2 en GDPR-compliant en hebben met succes samengewerkt met verschillende financiële organisaties om hun e-mailgegevens en -domein te beschermen tegen veiligheidsrisico's. 

We helpen je: 

• Bescherm uw e-mails tegen spoofing en impersonatie met DMARC
• Verdedig u tegen cyber afluisteren en man-in-the-middle aanvallen met MTA-STS
• Bewaak de verificatieresultaten van uw e-mail en los forensische incidenten op met DMARC-rapportage
• Blijf onder de SPF-opzoeklimiet om Permerrors met SPF afvlakking

Neem vandaag nog contact met ons op om uw e-mails te laten voldoen!