DORA compliance

DORA in control



Nu de EU's Digital Operational Resilience Act (DORA) in januari 2025 gehandhaafd zal worden, bevinden we ons op een kritiek punt. De impact op Europese financiële instellingen en hun ICT-dienstverleners is verstrekkend. DORA is niet zomaar een compliance vinkje; het vereist een grondige heroverweging van onze aanpak van digitale veerkracht en veiligheid.

De uitdaging

DORA is erop gericht leiders uit te rusten om instellingen te bouwen die bestand zijn tegen complexe bedreigingen zoals geavanceerde ransomware-aanvallen, spionage, en snelle geopolitieke veranderingen die een wisseling van IT-dienstverleners kunnen noodzaken. Dit betekent het maken van strategische keuzes, zoals het selecteren van de juiste technologie, het heroverwegen van hoe we toegang krijgen tot IT-middelen, het herontwerpen van onze netwerken, het herbeoordelen van langdurige IT-partnerschappen, en het omarmen van regelmatig testen in real-world scenario's. 

Centraal in deze verschuivingen staat ons DORA Control Framework, vervaardigd uit de uitgebreide 400-pagina's tellende DORA-wetgeving. Dit raamwerk is niet zomaar een checklist; het is een gedetailleerde strategie om organisaties effectief te helpen bij het implementeren en beheren van DORA's uitgebreide veiligheidseisen.

Wat maakt DORA een uitdaging? Het is een complexe mix van factoren:

  • Nieuwe verantwoordelijkheid. DORA legt aanzienlijke verantwoordelijkheid voor organisatorische veerkracht, risicobeheer en regelgevende naleving op de schouders van managementteams.
  • Verplichte exitstrategie. Er is nu een vereiste voor organisaties om een geplande cloud-exitstrategie te hebben, inclusief contractuele voorwaarden en exit-tests. 
  • Geavanceerd testen. DORA vereist diverse tests voor veerkracht, continuïteit en veiligheid, zelfs uitgebreid tot omgevingen van derden. 
  • Beheer van activa en toeleveringsketen. Het onderhouden van een overzicht van alle kritieke activa, een register van ICT-dienstverleners en beschermende maatregelen voor activa en risicovermindering is essentieel, tot de laatste schakel in de keten en inclusief het toezicht daarop. 
  • Gedetailleerde vereisten. DORA specificeert uitgebreide vereisten over back-ups, netwerkdesign, operationele controle, incidentbeheer en meer.
Ons DORA Control Framework

Onze aanpak met het DORA Control Framework is zowel strategisch als praktisch. We hebben DORA's gedetailleerde en juridische inhoud getransformeerd in een heldere set van 8 (herkenbare domeinen) en 87 onderliggende controls, elk gekoppeld aan specifieke wetgeving.

We hebben een dashboard gecreëerd op basis van een vijf-niveau volwassenheidsmodel om belangrijke risicogebieden en compliancegaten te identificeren. We bieden ook begeleiding voor kwartaalrapportages om het management up-to-date en klaar te houden voor nieuwe opkomende vereisten. 

Samengevat is DORA meer dan een regelgevende hindernis; het is een kans om onze digitale veerkracht en veiligheid te versterken. Laten we dit aanpakken met de toewijding en vastberadenheid die het vereist, gebruikmakend van het DORA Control Framework als onze gids naar een veiligere en veerkrachtigere toekomst. 

Visual DORA

Onze drie-stappen

Schuberg Philis speelt een cruciale rol in het ondersteunen van haar klanten bij de juiste aanpak van DORA, door het te benaderen als een technologische transformatie. We hebben een specifieke drie-stappen aanpak ontwikkeld om onze klanten effectief te helpen om daadwerkelijk aan de DORA-eisen te voldoen:

  1. Identificatie en visualisatie: We starten met het in kaart brengen en visualiseren van de belangrijkste bedrijfsprocessen en de onderliggende IT-infrastructuur. We gebruiken hiervoor onze bekende canvassen en Layer 3 en Layer 7 diagrammen. Indien deze documenten niet of onvoldoende beschikbaar zijn, bieden we ondersteuning bij het opstellen ervan. 
  2. Unieke DORA gap assessment: Vervolgens voeren we een initiële DORA gap-analyse uit om te bepalen waar de organisatie exact staat. We hebben hiervoor een uniek en marktleidende DORA Control Framework ontwikkeld. Dit raamwerk is gebaseerd op een zorgvuldige analyse van alle 400+ pagina's van de DORA-wetgeving niveaus 1 en 2, die we hebben samengevat en vertaald naar 87 begrijpelijke en uitvoerbare controls. 
  3. Roadmap ontwikkeling en implementatie: Op basis van de duidelijke inzichten uit de gap-analyse ontwikkelen we samen met de organisatie een heldere en pragmatische roadmap. Als technologiepartner kunnen we organisaties actief ondersteunen bij het implementeren van de benodigde aanpassingen om de geïdentificeerde lacunes te dichten.

Met deze gestructureerde aanpak zorgt Schuberg Philis ervoor dat klanten niet alleen aan de regelgeving voldoen, maar ook een sterker en veerkrachtiger IT-landschap opbouwen, in lijn met de eisen van DORA.

Sandeep Gangaram Panday contact

Meer weten?

Neem contact op met Sandeep Gangaram Panday.