DORA is live. Zijn financiële dienstverleners er klaar voor om hun veerkracht te bewijzen?

De Digital Operational Resilience Act (DORA) is op 17 januari 2025 in werking getreden, met uitgebreide richtlijnen en een gedetailleerd regelgevend kader voor de manier waarop alle financiële dienstverleners die in de Europese Unie zaken doen, de veerkracht van data tegen ongeplande verstoringen waarborgen. Het erkent ook een realiteit die breed wordt geaccepteerd door cyberbeveiligingsprofessionals dat het niet langer een kwestie is van of een cyberaanval plaatsvindt, maar wanneer. Deze cruciale EU-wetgeving brengt een nieuw niveau van striktheid en verantwoordelijkheid voor de financiële dienstensector die zich zal blijven ontwikkelen om de stabiliteit van de EU en het wereldwijde financiële ecosysteem te waarborgen.

Veel sectoren van de financiële dienstverlening die verder gaan dan traditionele banken en kredietinstellingen vallen nu onder de DORA-regelgeving, waaronder betalingsaanbieders, beleggingsondernemingen, handelsplatformen, verzekeringsaanbieders en dienstverleners op het gebied van informatie- en communicatietechnologie (ICT). Sectoren die nieuw zijn op dit niveau van regelgeving kunnen moeite hebben om hieraan te voldoen, zoals aangegeven door de DORA “Dry Run exercise”.1″ van de Europese financiële toezichthouders Ze zullen waarschijnlijk ook extra worden onderzocht door onderling verbonden klanten, partners en andere belanghebbenden als een nieuw operationeel risico. Niet-naleving betekent niet langer alleen het potentieel voor een zeer grote boete, maar ook reputatieschade en aansprakelijkheid voor een bedrijf, haar bestuurders en haar partners.

Hoewel het nog niet duidelijk is hoe snel financiële toezichthouders handelen, vertegenwoordigt DORA een verschuiving van richtlijnen voor datagereedheid en cyberveerkracht naar handhaving ervan. Gezien het uitgebreide karakter van DORA, dat de financiële regelgeving van de EU op het gebied van informatietechnologie aanzienlijk verbreedt, kunnen Europese financiële toezichthouders, zonder onbeperkte expertise en middelen, geconfronteerd worden met uitdagingen bij het onmiddellijk afdwingen van alle aspecten van DORA. Als gevolg daarvan zullen regelgevers waarschijnlijk een gerichte aanpak hanteren, waarbij de nadruk ligt op de meest kritieke en zichtbare gebieden van niet-naleving.2

Hackersgids voor ransomwarebeperking en -herstel

Lees de gids

Waar financiële organisaties prioriteit aan geven

Een van de topprioriteiten voor DORA-naleving is het indienen van nauwkeurige en technisch conforme informatieregisters. Financiële toezichthouders hebben benadrukt dat registers een primaire focus van handhaving zullen zijn, en zij verwachten dat organisaties ze begin 2025 zullen indienen. Het indienen van een nauwkeurig register met details over de belangrijkste IT-providers van de organisatie kan voordeliger zijn dan het indienen van onvolledige informatie over al haar IT-providers. 

Voor leiders op het gebied van dataprotectie en CIO’s is DORA een oproep tot actie om legacy-systemen te onderzoeken en te overwegen of ze bestand zijn tegen de huidige cyberdreigingen en de prestaties kunnen leveren die nodig zijn voor efficiënt, snel serviceherstel. Naast het identificeren en in kaart brengen van belangrijke systemen, applicaties en workloads met respectievelijke ICT-providers, moeten organisaties zorgvuldig de kernmogelijkheden overwegen die deze systemen beschermen, verdedigen en herstellen. Cruciale mogelijkheden zijn onder andere:

• Dataprotectie en cyber recovery: Snelle herstelmogelijkheden zijn essentieel onder DORA als een manier om de operationele impact van een aanval te minimaliseren. Voor kritieke systemen (bijv. betalingen) is de enige manier om de meest strenge, ultrakorte hersteltijddoelstellingen te bereiken die vereist zijn door operationele veerkrachtvoorschriften het herstellen met behulp van opslaggebaseerde onveranderlijke snapshots. Deze snapshots moeten veilig worden opgeslagen in een geïsoleerde (of vrijwel air-gapped) opslagplaats.
• Vroege waarschuwing bedreigingsdetectie: Het eerder identificeren en verhelpen van potentiële cyberbedreigingen is een belangrijk aspect van dataprotectie en -gereedheid. De mogelijkheid om continu data te scannen om afwijkingen op te sporen en bedreigingen zoals ransomware en malware in realtime te identificeren en herstel te automatiseren is essentieel voor snellere insluiting van een aanval. 
• Geïsoleerde recovery-omgevingen (IRE) of cleanrooms voor veerkrachttests: Het opzetten van een volledig onafhankelijke, geïsoleerde herstelomgeving waar data kunnen worden hersteld voor forensische en applicatie-analyse en als schoon kunnen worden gevalideerd voordat het herstel van de productiesnelheid terugkeert.  IRE’s stellen organisaties ook in staat om voortdurend cyberherstelpraktijken te testen en te verbeteren op organisatorische paraatheid.
• Schaalbaarheid en prestaties: Bedrijven zullen hun diensten blijven ontwikkelen, te maken krijgen met nieuwe wettelijke vereisten en omgaan met opkomende cyberbedreigingen. Het is belangrijk om rekening te houden met het vermogen van een oplossing om te schalen naarmate de datavereisten veranderen in gedistribueerde, hybride omgevingen, met behoud van hoge prestatiesnelheden voor Databescherming en -recovery.

Naleving van vertrouwen

Organisaties die uitstellen met het opzetten van robuuste mogelijkheden om te voldoen aan DORA en andere evoluerende veerkrachtvoorschriften, zoals PSD2, NIS2, APRA CPS 230 en de Europese Cyber Resilience Act die in 2026 van kracht wordt, kunnen te maken krijgen met toenemende uitdagingen. Ze kunnen zich ook in een concurrentienadeel bevinden voor bedrijven die kunnen aantonen dat ze veerkrachtig kunnen blijven bij verstoringen in het wereldwijde financiële ecosysteem. Door samen te werken met partners die de veerkrachtvereisten van de verordening begrijpen en robuuste oplossingen te implementeren, kunnen organisaties ervoor zorgen dat ze compliant zijn en beter voorbereid zijn om nieuwe uitdagingen op het gebied van regelgeving aan te gaan en hun dataomgeving te verdedigen tegen opkomende bedreigingen.

Pure Storage en Commvault zijn samengekomen om een gezamenlijke oplossing te bouwen, modulair van ontwerp, die financiële instellingen helpt hun cyberveerkrachtpraktijken te verbeteren en de belangrijkste pijlers van DORA voor incidentrespons en veerkrachttests aan te pakken. De oplossing is gebouwd door de toonaangevende cyberveerkrachtsmogelijkheden van Commvault® Cloud te integreren met het zeer veilige, krachtige Pure Storage-platform. Lees meer over de oplossing en onze toewijding aan cyberveerkracht in deze Solution Brief.

Bent u er klaar voor? 

Gereedheid weerspiegelt volwassen cyberveerkracht, waarbij technologie, mensen en processen naadloos werken om bedrijfscontinuïteit mogelijk te maken bij elke cyberuitdaging. Evalueer de cyberveerkracht van uw organisatie met de Cyber Maturity Assessment van Commvault.