De DORA-verordening zal de sector verbeteren
Steven Debets, CISO bij VNAB, en Kimberly Kooij, assurantiemakelaar bij Kröllerboom, bespreken de invloed van de DORA-verordening, die vanaf januari 2025 de digitale weerbaarheid van financiële instellingen in Europa moet versterken. Ze delen hoe deze regelgeving hun organisaties raakt en belichten de uitdagingen en kansen op het gebied van IT-beveiliging en risicomanagement in een steeds risicovollere IT-sector.
Geschreven door Melanie Modderman
Hoe zien jullie de impact van de DORA-wetgeving in jullie werk?
Kimberly Kooij (Kröllerboom): “Hoewel DORA niet direct op Kröllerboom van toepassing is, omdat we als assurantiemakelaar niet tot de primaire doelgroepen behoren, dwingt het ons wel om onze contracten, ISO 27001-certificeringen en afspraken opnieuw te evalueren vanwege ons hybride werkmodel en de bijbehorende IT-outsourcing.” Steven Debets (VNAB): “DORA is strikt genomen niet direct van toepassing op de VNAB, maar meerdere van onze leden merken onze diensten aan als cruciaal voor hun IT-bedrijfsvoering onder de DORA. Daarom stemmen wij onze cybersecurity-roadmap volledig af op de DORA-normen, zodat we binnen redelijke grenzen voldoen aan deze eisen. Ook vanwege de omvang van de jaarlijkse premievolume die in onze systemen wordt verwerkt.”
Waarom wordt de VNAB gezien als essentiële IT-dienstverlener?
Debets: “Ja, meerdere ledenorganisaties beschouwen ons als kritieke partner, vooral wat betreft beschikbaarheid van onze systemen. Als onze systemen uitvallen, kunnen zij hun dienstverlening niet voortzetten, vooral bij e-ABS en straks mogelijk ook Co-polis. Hoewel we niet de primaire bron van data-opslag zijn, zijn sommige bedrijven toch deels afhankelijk van ons, wat onze belangrijke rol in de keten onderstreept.” Kooij: “Dat klopt. Als wij bijvoorbeeld geen toegang hebben tot e-ABS, kan ik een groot deel van mijn werk als makelaar niet uitvoeren. Net zoals Steven Debets al aangeeft, word je door DORA wel weer even wakker geschud. Door de ketenveiligheid te verbeteren, kunnen we potentiële risico’s verder beperken.''
Hoe tonen jullie aan dat jullie een betrouwbare partner zijn?
Debets: “Bij de VNAB hebben we een informatieveiligheidsfunctie, juridische functie en risicomanagementfunctie. We weten dat veel kleinere financiële instellingen dat nog niet hebben, maar voor ons is het essentieel. We gaan verder dan de standaard ISO-certificering en laten onze IT-dienstverleners ook een ISAE 3402-verklaring afgeven en doen dat zelf ook. Daarmee tonen we onze leden aan dat we controle hebben over onze IT-processen, zoals de hosting van e-ABS en de technische infrastructuur daarachter. We laten onze externe accountant jaarlijks controles uitvoeren, zodat we de rapporten kunnen delen met onze leden.”
Hoe verschilt DORA's impact op grote versus kleinere bedrijven?
Debets: “DORA zorgt uiteindelijk voor meer cyberveiligheid in de hele EU. Het dwingt tot gestructureerd werken, geeft inzicht in IT-ketens en creëert zekerheid door gestructureerd toezicht. Voor kleinere organisaties kan het uitdagend zijn, vooral op het gebied van risicomanagement en cybersecurity, omdat zij vaak beperkte middelen en specialistische functies hebben om aan de uitgebreide eisen te voldoen. Toch biedt DORA meer duidelijkheid en zorgt het voor een stabielere financiële sector.”
Wat verwachten jullie na de invoering van DORA?
Debets: “De digitalisering gaat snel en DORA zorgt ervoor dat de financiële sector veiliger en veerkrachtiger wordt. Dit soort regelgeving is broodnodig, gezien de toename van cyberdreigingen vanuit bijvoorbeeld de geopolitieke context. Het is belangrijk dat we niet alleen blijven werken aan IT-beveiliging, maar dat we ook kijken naar hoe we als organisaties en als sector kunnen samenwerken om deze dreigingen het hoofd te bieden.” Kooij: “DORA legt de nadruk op de verantwoordelijkheid van bestuurders om zich bewust te zijn van de IT-risico’s en de impact op hun organisatie. Naast DORA zorgt NIS2 (Network and Information Security Directive 2)* ervoor dat security inmiddels hoog op de agenda staat bij het bestuur. Naleving is verplicht en zal streng worden gehandhaafd door de toezichthouders, met potentiële gevolgen in geval van nalatigheid. De implementatie van DORA zorgt voor harmonisatie, waarbij ook kleinere bedrijven zoals het mijne moeten voldoen aan hoge normen. Het is essentieel dat we niet alleen reageren op nieuwe wetgeving, maar proactief werken aan een veilige IT-infrastructuur, wat de kwaliteit en veiligheid van onze dienstverlening ten goede komt.” Beiden zijn het eens. Het lijkt erop dat DORA veel meer is dan een verplichting; het biedt een kans om de stabiliteit en weerbaarheid van de algehele sector naar een hoger niveau te tillen.
Wat houdt de DORA-verordening in?
De DORA-verordening (Digital Operational Resilience Act) is een Europese regelgeving die vanaf januari 2025 financiële instellingen verplicht om hun digitale weerbaarheid te vergroten. Het doel van DORA is om operationele risico’s te beperken en de cyberveiligheid in de financiële sector te versterken. Dit betekent dat banken, verzekeraars en andere financiële partijen hun IT-beveiliging moeten aanscherpen, afhankelijkheden van derde partijen beter moeten beheren en voorbereid moeten zijn op digitale verstoringen. Hiermee wil de EU een stabiele, cyberbestendige financiële sector garanderen.
*De NIS2-richtlijn (Network and Information Security Directive 2) is een EU-richtlijn die tot doel heeft de cyberbeveiliging binnen de lidstaten te verbeteren door strengere veiligheidsvereisten op te leggen en de respons op incidenten te versterken, vooral in kritieke sectoren zoals energie, transport en gezondheidszorg.
Voor meer informatie, stuur een mail naar s.debets@vnab.nl