Financiële dienstverleners hebben al tijden te maken met zeer strenge regelgeving, ook wat betreft dataveerkracht en cyberbeveiliging. Omdat ze al enige tijd onder strenge normen opereren, zou compliance met DORA voor de meeste dus geen probleem mogen zijn. DORA reikt echter verder dan de interne procedures van de organisatie. Het omvat ook externe dienstverleners en partners, en dit wordt nog weleens over het hoofd gezien.
DORA gaat verder dan eerdere regelgevingen
Voor veel organisaties betekent DORA simpelweg het voortbouwen op bestaande fundamenten. De belangrijkste focus ligt op het testen van de operationele veerkracht en het vergroten van het interne bewustzijn van verschillende rampscenario’s en hun impact op de organisatie.
Gezien de al strenge regelgeving voor financiële instellingen, zullen veel van hen vrij snel vertrouwen hebben gehad in hun op scenario’s gebaseerde testen en dus ook hun vermogen om DORA-compliant te zijn. En als de reikwijdte van DORA niet verder zou gaan dan de interne organisatie, zouden ze gelijk hebben. DORA strekt zich echter uit tot alle externe partijen en de hele supply chain. Deze uitgebreide reikwijdte en het soms beperkte inzicht in de activiteiten van partners kunnen leiden tot een behoorlijk grote potentiële blinde vlek.
De gevolgen van non-compliance
Natuurlijk zal de compliance van externe leveranciers organisaties niet onkwetsbaar maken voor beveiligingsdreigingen, maar het zal de organisatie wel in een goede positie brengen als het gaat om het herstel na een aanval. DORA-compliance is echter geen eenmalige oefening. Financiële dienstverleners moeten 24 uur per dag, 7 dagen per week, 365 dagen per jaar alert zijn als ze de chaos van een cyberaanval – zoals die op Starbucks afgelopen winter waarbij 11.000 winkels plat lagen – willen vermijden.
Het zal een aanzienlijke hoeveelheid middelen vergen om alle externe leveranciers volledig in kaart te brengen en contractuele waarborgen in te voeren. De voordelen wegen in dit geval echter zwaarder dan de nadelen. Organisaties zijn niet alleen compliant, ze versterken ook hun plannen voor dataprotectie en incident response. Alleen vorig jaar al bedroegen de kosten van downtime voor financiële dienstverleners $152 miljoen. Als organisaties downtime kunnen voorkomen door te zorgen dat hun hele supply chain DORA-compliant is, leidt dat logischerwijs tot minder financieel verlies. Bovendien kunnen financiële dienstverleners te maken krijgen met een boete van 2% van hun jaaromzet als externe leveranciers in hun supply chain niet compliant zijn.
Samenwerking met de supply chain is essentieel
Organisaties kunnen hun interne compliance wel op orde hebben, maar als hun externe en supply chain partners niet compliant zijn, zullen ze hoe dan ook niet voldoen aan DORA. Volgens het Third Party Risk Management Survey van EY heeft alleen al in de VS 98% van de financiële dienstverleners partnerships met externe leveranciers. Hoewel ze het zich misschien niet realiseren, zijn externe partijen een groot risico voor financiële organisaties als het gaat om DORA-compliance.
Het is cruciaal dat elke bank en financiële instelling de Service Level Agreement (SLA) opnieuw onderhandelt met bestaande en nieuwe partners. Daarnaast is het vastleggen van DORA-compliance als vereiste essentieel voor voortdurende DORA-compliance. Het vereist echter ook samenwerking tussen bedrijven in de supply chain. Hierdoor kunnen ze er niet alleen voor zorgen dat ze zelf compliant zijn met DORA, maar ook de algehele beveiliging en veerkracht van alle partners in de supply chain naar een hoger niveau brengen. Dit is een belangrijke stap om de financiële sector veiliger te maken, zo pleit ook De Nederlandsche Bank. Financiële dienstverleners zullen hierin het voortouw moeten nemen.
Het is een continu proces om de veerkracht van financiële instellingen én hun supply chain te versterken, maar de eerste stappen zijn gezet met de invoering van DORA.
Andre Troskie, EMEA Field CISO bij Veeam
