Financiële instellingen hebben nog vier maanden de tijd om de Europese Digital Operational Resilience Act (DORA) te implementeren. Wat is in deze fase belangrijk voor verzekeraars? Rudrani Djwalapersad, Partner en Cybersecurity Lead bij EY: “Zie het glas halfvol, want uit de gap-analyse blijkt ook waar je al wel voldoet. Vergeet niet om dat inzichtelijk te maken.”
Over Rudrani
Rudrani Djwalapersad studeerde Bedrijfskunde en deed de master Financieel Recht. Toen al wilde ze consultant worden, maar dacht nog helemaal niet aan cybersecurity. In de afgelopen jaren leerde ze dat (digitale) informatie steeds belangrijker werd. En dat cyberaanvallen een enorme impact op de bedrijfscontinuïteit kunnen hebben. Dat triggerde haar als consultant met oog voor strategie, processen én mensen. Nu maakt ze, samen met haar team, bedrijven digitaal weerbaarder en noemt zichzelf dan ook een bedrijfsdeskundige die cyber snapt.
The devil is in the detail
De deadline, 17 januari 2025, voor de implementatie van de DORA-vereisten is in zicht. De tijd van gap-analyses ligt achter ons en financiële instellingen, waaronder verzekeraars, zitten middenin de implementatiefase. Maar, hoe staan ze ervoor? Djwalapersad benadrukt allereerst dat de DORA-publicaties zijn gebaseerd op al bestaande wetten, regels en standaarden over cybersecurity, waar de DNB Good Practice er één van is. “Maar let wel op, want the devil is in the detail. In de DORA-vereisten en Regulatory Technical Standards (RTS) is soms extra input opgenomen die leidt tot nieuwe vereisten. Denk aan het rapporteren over kosten en verliezen met betrekking tot major incidents. En het Register of Information waarin je alle ICT-leveranciers moet registreren met datapunten die niet direct beschikbaar zijn en je dus op moet vragen.”
Samenwerken
Niet alleen instellingen zelf zijn hard aan het werk. Ook overkoepelende organisaties zetten zich in voor hun achterban. Zo hebben brancheverenigingen DUFAS, VV&A, de Pensioenfederatie en het Verbond van Verzekeraars marktstandaarden opgesteld die helpen bij de contracten met ICT-leveranciers. Djwalapersad: “Dat vind ik positief. DORA is namelijk niet iets om op te concurreren. Samenwerken is key en daarom stimuleren wij dat ook. Praat met elkaar om je aanpak te toetsen en samen een baseline vast te stellen.”
Uitdagingen van implementatiefase
Djwalapersad is optimistisch, maar weet dat de implementatie veelomvattend en niet altijd makkelijk is. In januari 2023 is de DORA Level 1-tekst gepubliceerd. Daarna volgden de onderliggende RTS’en en vereisten. Dat betekent dat instellingen niet de volledige twee jaar hebben gehad voor implementatie. “In de praktijk zie ik dat bedrijven continu de afweging moeten maken: direct aan de slag, met het risico dat je later moet bijsturen? Of wachten op de publicatie van de vereiste of de RTS?”
Ze vervolgt: “Daarnaast zijn de principle based-vereisten een uitdaging. Die laten, anders dan rule based-vereisten, meer ruimte voor eigen interpretatie en invulling. De DORA-pijler Incident Management bevat bijvoorbeeld veel voorschrijvende vereisten, zoals de classificatie van incidenten op basis waarvan iets wel of niet kritisch wordt bestempeld. Of de 9 Business Continuity Management-scenario’s die je periodiek moet testen. Maar de pijler Governance is meer principle based. Daar staat onder andere in dat je een risicotolerantie moet hebben, maar niet wat die tolerantie precies moet zijn.”
Grijs gebied: third party risk management
Verder bevat de pijler Third Party Riskmanagement rule based- en principle based-vereisten. Zo is het Register of Information rule based, omdat het een vaststaand template is. Daarnaast zijn er 19 ICT-leveranciers beschreven. Dat is volgens Djwalapersad helder. Maar in de praktijk blijkt dat er ICT-dienstverleners zijn die, afhankelijk van hoe je de vereiste interpreteert, wel of juist niet onder de definitie vallen. Bijvoorbeeld leveranciers die ICT-personeel aanleveren. “Dat is grijs gebied. Hoe ga je daarmee om? Zeker nu het ecosysteem groter en groter wordt door fintech- en insurtech-bedrijven waar financiële instellingen mee samenwerken. Dat maakt de ICT-infrastructuur complexer en gevoeliger voor kwetsbaarheden.”
Evolutie third party-proces
Ook voor een goede inrichting van je third party-proces moet je keuzes maken. Ook al verandert de cyclus van een ICT-leverancier, van onboarding tot einde contract, niet. Je hebt daar nu, en in de toekomst, verschillende afdelingen bij nodig: van inkoop tot contract- en leveranciersmanagement. Maar het managen van de keten vergt onder DORA wel meer van bedrijven. Moet je de afdelingen bijvoorbeeld samenvoegen om end-to-end het proces te kunnen faciliteren? Waar zit het mandaat om meer in control te zijn als het om cyberveiligheid gaat? Het vergt een andere manier van monitoring van je leveranciers. Ik zie het als een soort evolutie van het proces. Dus niet één keer per jaar analyseren, SOC-statement afgeven of ISO-certificaat opvragen, maar real time-monitoring.”
Risicogebaseerd en proportioneel implementeren
Djwalapersad ziet bij meerdere DORA-vereisten dat instellingen worstelen met het risicogebaseerd en proportioneel implementeren van de wet, wat inhoudt dat ze zelf keuzes moeten maken. Denk aan het definiëren van kritische functies en het identificeren van third parties. “Dat begrijp ik, want de historie laat zien dat andere wetten, zoals Solvency II, meer rule based zijn. Instellingen twijfelen nu het goed genoeg is voor de toezichthouder. Ik herinner ze er dan aan dat DORA niet voor niets begint met een artikel over risicogebaseerd en proportioneel implementeren. Dus als ze een definitie hanteren voor het grijze gebied, of ergens een eigen invulling aan geven, dat het belangrijk is om die keuze goed te beargumenteren. En vergeet de ondertekening door het bestuur niet. Die aanpak toont aan dat je jouw keuzes weloverwogen hebt gemaakt.”
Aandachtspunten voor implementatie
Tot slot, en samenvattend, geeft Djwalapersad verzekeraars graag een paar tips voor de implementatiefase:
1 Non-gaps: Niet alle DORA-vereisten zijn nieuw. Zie het glas halfvol in plaats van halfleeg. Ze komt veel bedrijven tegen die zich alleen focussen op de gaps. Maar uit de gap-analyse blijkt ook waar je wél al voldoet. Maak ook dat inzichtelijk in je DORA-dossier.
2 Gaps: De implementatie van DORA kan langer duren dan de deadline van 17 januari 2025. Dat vindt ze logisch. Zorg dan wel voor een plan waarmee je aantoont wat je nog moet veranderen in beleid en processen om de gaps te dichten. Maak risicogebaseerd en proportioneel keuzes op basis van de informatie die de wet op dit moment geeft.
3 Must haves: Focus op de must haves voor jouw bedrijf, zoals het Register of Information. Die moet je echt hebben, want dat zal één van de eerste dingen zijn die de toezichthouder zal opvragen. Zorg ook voor een duidelijk incident management proces en het updaten van je beleidsstukken om te voldoen aan de DORA-vereisten.
4 Besluitvormingsprocessen: het management en de board krijgen door pijler 1 een actievere rol en meer directe verantwoordelijkheden. Betrek ze bij het DORA-project door bijvoorbeeld een rol in de stuurgroep. Zorg er ook voor dat ze bewustwordingssessies en trainingen volgen. Zo organiseert Nyenrode op 10 oktober en 14 november een DORA-webinar over belangrijke toezichtaspecten, de laatste stand van zaken inzake de reguleringsnormen én de herziene corporate governance code. Bedoeld voor directeuren, leden van de RvB, senior managers, toezichthouders en commissarissen.
Meer weten over de implementatie van DORA en heb je specifieke vragen voor Rudrani? Op 17 oktober verzorgt ze de Masterclass Goed voorbereid op DORA bij het Verbond in Den Haag. Ga naar de opleidingspagina voor het programma en registratie. Er zijn nog een enkele plekken vrij.
(Tekst: Ellen Jonges. Beeld: Ivar Pel)
Was dit nuttig?