DORA-wetgeving: Andre Troskie van Veeam en Bob Wambach Dynatrace delen hun visie
Sinds 17 januari 2025 moeten financiële bedrijven voldoen aan de Digital Operational Resilience Act (DORA). Deze Europese wet verplicht financiële instellingen om IT-risico’s beter te beheersen en hun weerbaarheid tegen cyberdreigingen te versterken. DORA maakt deel uit van de EU-strategie voor digitale financiën en is bedoeld om organisaties beter in staat te stellen cyberaanvallen en andere digitale bedreigingen te weerstaan, op te sporen en ervan te herstellen. De wet heeft een grote impact op zowel financiële instellingen als hun toeleveringsketens, binnen en buiten de EU. Andre Troskie, EMEA Field CISO bij Veeam, en Bob Wambach, VP Product Portfolio bij Dynatrace, delen hun visie op deze wetgeving.
“In tegenstelling tot andere sectoren die ook moeten voldoen aan NIS2, is de financiële dienstverlening niet onbekend met strenge regelgeving. Deze organisaties hebben hard gewerkt aan hun dataweerbaarheid en cyberbeveiligingsstrategieën. Dus hoewel ze een extra regelgeving hebben waaraan ze moeten voldoen in DORA, zou de kloof tussen waar ze nu zijn en waar ze moeten zijn, beheersbaar moeten zijn, in ieder geval wat betreft hun interne activiteiten", aldus Troskie.
"Het is een heel ander verhaal als het gaat om externe dienstverleners en de bredere supply chain. Het maakt niet uit hoe ver je intern bent gevorderd als je de naleving van je relevante partners niet kunt garanderen. Je zult dan moeite hebben met het aantonen van naleving, wat kan resulteren in mogelijke boetes of andere negatieve gevolgen."
"Organisaties moeten er op zijn minst voor zorgen dat externe partijen robuuste risicomanagementprocessen implementeren. Als onderdeel hiervan moeten organisaties een heronderhandeling van alle externe service level agreements (SLA's) eisen om DORA-naleving te verankeren als een essentiële voorwaarde. Hoewel het tijdrovend is, kunnen organisaties het zich niet veroorloven om het belang van het waarborgen van naleving door externe partijen te onderschatten.”
'Verder gaan dan checklist compliance'
Wambach voegt toe: “Nu de deadline voor de Digital Operational Resilience Act (DORA) eindelijk is bereikt, staan financiële instellingen in heel Europa en daarbuiten voor een kritiek moment. Hoewel DORA een Europese verordening is, heeft het ook verstrekkende gevolgen voor gevestigde financiële entiteiten buiten de EU. Als banken buiten de EU niet aan dezelfde normen voldoen, bestaat het risico dat er een tweeledige markt ontstaat, verdeeld in aanbieders die standaard veerkrachtig zijn en aanbieders die een risico vormen voor de klanten die op hen vertrouwen."
"Financiële dienstverleners in Europa moeten niet alleen voorbereid zijn om te voldoen aan de basisvereisten van DORA, maar hun teams in staat stellen om direct te reageren op operationele verstoringen en cyberincidenten. Dit betekent dat we verder moeten gaan dan alleen 'checklist compliance'. Organisaties moeten prioriteit geven aan het continu testen van hun diensten en een cultuur van veerkracht omarmen. Convergentie van observability- en beveiligingsgegevens ter ondersteuning van realtime, AI-gestuurde anomaliedetectie is de optimale manier om risico's snel te beoordelen voordat ze escaleren tot volwaardige incidenten", aldus Wambach. "Het valt nog te bezien hoe strikt EU-regelgevers de regels rondom DORA zullen handhaven, maar één ding is zeker: geen enkele financiële instelling wil de eerste zijn die tekortschiet."
Dutch IT events
Alle events
Meer over juridisch
Over Wouter Hoeffnagel
