Centrale aanpak essentieel om implementatie van DORA te laten slagen
De digitale weerbaarheid van financiële dienstverleners móet beter. Met de Digital Operational Resilience Act (DORA) hoopt de Europese toezichthouder deze weerbaarheid te versterken en de sector aan te zetten tot actie. Hierbij ligt de nadruk op het beheer van derde partijen. Financiële dienstverleners zijn namelijk goed in staat om hun eigen risico’s te beheren, maar hun afhankelijkheid van externe leveranciers maakt hen extra kwetsbaar en compliceert de naleving van DORA. David Martoredjo, ervaren Risk-consultant bij ITDS, deelt zijn kijk op deze uitdagingen en gaat dieper in op het belang van de contractuele afspraken met derde partijen.
Volgens David zijn IT-ketens de laatste jaren zo complex geworden, dat het overzicht op de mogelijke risico’s steeds moeilijker wordt. “Vroeger werden er minder zaken uitbesteed. Nu bestaat de hele keten van uitbesteding soms wel uit tientallen verschillende externe partijen. Dit maakt het beheer en toezicht complex en organisaties hebben daardoor vaak een onvolledig overzicht van de mogelijke risico’s. Ze vertrouwen erop dat de partijen aan wie ze uitbesteden hun zaken goed geregeld hebben en dat deze partijen hun verantwoordelijkheden nakomen. Dit betekent echter niet dat je, in het geval van een incident, ongeschaad zult blijven. Als er iets misgaat, kan de schade namelijk ook jouw organisatie treffen, ongeacht de afspraken die je met derden hebt gemaakt.”
Kwetsbaarheid aan het licht
Een goed voorbeeld van de kwetsbaarheid van IT-ketens is het Crowdstrike-incident van afgelopen 19 juli, dat zorgde voor een wereldwijde storing. “Dit incident was grotendeels te wijten aan een externe leverancier,” zegt David. “Het toont hoe kwetsbaar en afhankelijk je bent van IT-systemen en derde partijen. Het is cruciaal dat je je keten en afhankelijkheden goed in kaart hebt, risico’s juist classificeert en daar specifieke responsen aan koppelt. Dan had het incident beter gemanaged kunnen worden en was er minder downtime en productiviteitsverlies.”
Het overzicht ontbreekt
Incidenten zoals deze, samen met de toename van cyberaanvallen, vormen een steeds groter risico voor de stabiliteit van de financiële sector. De Nederlandsche Bank (DNB) benadrukt dat organisaties nu écht met een actieplan moeten komen voor de implementatie van DORA. “Veel organisaties hebben moeite om te bepalen waar ze moeten beginnen,” stelt David. “Uitbesteding aan derden is vaak niet centraal geregeld, maar verschillende afdelingen hebben beslissingsbevoegdheid. Hierdoor ontbreekt het totaaloverzicht. Bij het ontwikkelen van een actieplan kunnen belangrijke zaken over het hoofd worden gezien met als gevolg een gefragmenteerd plan.”
Niet alleen een Riskfeestje
David wijst daarnaast op een andere belangrijke valkuil: “Doordat uitbesteding niet centraal is geregeld, ligt de verantwoordelijkheid voor de implementatie van DORA niet alleen bij de IT- en riskafdeling, maar bij álle afdelingen die afspraken hebben gemaakt met derden. Alleen beschikken niet al deze afdelingen over de juiste risicomanagement kennis om deze uitdagingen effectief aan te pakken. Neem bijvoorbeeld de inkoopafdeling. Van hen wordt verwacht dat zij een groot deel van de verantwoordelijkheid om aan de DORA-richtlijnen te voldoen op zich nemen. Zij maken immers de meeste contractuele afspraken met derde partijen en spelen een sleutelrol in het beheer van externe relaties. Echter, missen zij vaak cruciale kennis van contractbeheer vanuit een risicomanagementperspectief. Dit gebrek aan kennis kan leiden tot ongewenste risico’s en problemen bij de naleving van DORA.”
Onafhankelijke verbinder
Volgens David is een samenhangende aanpak essentieel. “Om fragmentatie te voorkomen, moet je de verantwoordelijkheid niet over meerdere afdelingen verspreiden, maar centraliseren. Dit zorgt ervoor dat er één aanspreekpunt is voor alle DORA-activiteiten, wat de coördinatie en implementatie aanzienlijk vereenvoudigt. Richt daarom een gespecialiseerd team op dat zich volledig richt op de coördinatie van alle DORA-activiteiten. Ervaren projectmanagers kunnen vanuit ITDS ondersteuning bieden, zodat interne medewerkers niet overbelast worden en zich kunnen concentreren op hun kerntaken. Onze toegewijde mensen weten precies hoe je op een gestructureerde manier risico’s in de IT-keten managet. Daardoor zijn we in staat om met minder mensen, meer werk te verzetten. ”
Gecontroleerd naar digitale weerbaarheid
DORA is complexe wetgeving die aanzienlijke eisen stelt aan financiële dienstverleners. Een strategische en beheerste aanpak is daarom essentieel vindt David. “Begin met het opstellen van een volledig overzicht van alle uitbestedingen en richt je op de contracten met de hoogste risico’s die kritieke of belangrijke functies ondersteunen. Breid de scope geleidelijk uit naarmate je meer inzicht krijgt. Hoewel DORA veel van de sector vraagt, is het doel helder: het versterken van digitale weerbaarheid en het verbeteren van de algehele stabiliteit van de financiële sector. Door een systematische en gefaseerde aanpak te hanteren, kun je voldoen aan de DORA-eisen en tegelijkertijd bijdragen aan een robuustere en betrouwbaardere financiële infrastructuur.”
Met meer dan 25 jaar ervaring op het gebied van wet- & regelgeving hebben we gezien hoe het moet, maar ook hoe het níet moet. Vanuit ITDS geloven we in onze pragmatische werkwijze dat heeft geleid tot talloze succesvolle implementaties. We komen niet alleen met een leuk plan, maar zorgen ook voor de implementatie én draagkracht binnen de organisatie. Al 25 jaar is dit een efficiënte en kosteneffectieve aanpak gebleken. Meer informatie over onze diensten vind je hier.