DORA implementeren is niet alleen een feestje van IT en risk
De komst van de Digital Operational Resilience Act (DORA) per januari 2025 moet de weerbaarheid van de financiële sector verbeteren. Voor financiële instellingen levert het tijdig compliant zijn tegelijkertijd ook extra werk op. Een gesprek met David Martoredjo van ITDS over de impact van DORA en waar instellingen bij hun voorbereidingen zoal aan moeten denken.
Met de DORA hoopt de Europese toezichthouder het risicolandschap van financiële dienstverleners beheersbaarder te maken. Het gaat daarbij vooral om risico’s in de IT-keten, zowel binnen de eigen bedrijfsvoering als extern in de keten.
“De financiële sector is steeds afhankelijker van technologie en van techbedrijven om financiële diensten te leveren. Wanneer IT-risico’s niet goed worden beheerd, kunnen ze leiden tot verstoringen van de aangeboden financiële diensten”, legt Martoredjo uit. “Dit kan op zijn beurt impact hebben op andere bedrijven, sectoren en zelfs de rest van de economie, wat de noodzaak van digitale, operationele veerkracht in de financiële sector onderstreept.”
Hoe ingrijpend deze risico’s kunnen zijn, werd geïllustreerd door twee recente grote gebeurtenissen. Om te beginnen het Crowdstrike-incident van 19 juli, dat zorgde voor een wereldwijde storing. “Dit incident was grotendeels te wijten aan een externe leverancier”, zegt Martoredjo. “Het toont hoe kwetsbaar en afhankelijk je bent van IT-systemen en derde partijen.”
Op 28 augustus gebeurde iets vergelijkbaars in ons land, toen een storing in het IT-netwerk van het ministerie van Defensie meerdere IT-systemen platlegde. Onder meer Eindhoven Airport lag een dag plat. Ook in dit geval werd het vliegveld gevloerd door een probleem bij een IT-leverancier.
Vrijwel meteen circuleerden in beide gevallen op diverse mediaplatforms en LinkedIn vrijwel meteen berichten als: ‘Met DORA zouden deze voorvallen er niet zijn geweest, of zou de schaal beperkter zijn geweest’.
“Juist voor deze risico’s is DORA in het leven geroepen”, stelt Martoredjo. “De wetgeving dwingt financiële instellingen om hun keten en afhankelijkheden goed in kaart te hebben, risico’s juist te classificeren en daar specifieke responsen aan te koppelen.”
Op tijd voorbereid
Compliant worden aan DORA is echter gemakkelijker gezegd dan gedaan. Volgens Martoredjo zijn IT-ketens de laatste jaren zo complex geworden dat het verkrijgen van goed zicht op de mogelijke risico’s steeds moeilijker wordt. “Vroeger werden er minder zaken uitbesteed. Nu bestaat de hele keten van uitbesteding soms wel uit tientallen verschillende externe partijen. Dit maakt het beheer en toezicht complex en organisaties hebben daardoor vaak een onvolledig overzicht van de mogelijke risico’s.”
“Om fragmentatie te voorkomen, moet je de verantwoordelijkheid centraliseren.”
De toezichthouder in ons land, De Nederlandsche Bank (DNB), is zich goed bewust van de complexiteit van DORA. De centrale bank benadrukt dan ook dat organisaties nu echt met een actieplan moeten komen voor de implementatie van DORA.
“Veel organisaties hebben moeite om te bepalen waar ze moeten beginnen”, ziet Martoredjo. “De uitbesteding aan derden is vaak niet centraal geregeld, maar verschillende afdelingen hebben beslissingsbevoegdheid. Hierdoor ontbreekt het totaaloverzicht. Bij het ontwikkelen van een actieplan kunnen belangrijke zaken over het hoofd worden gezien, met als gevolg een gefragmenteerd plan.”
Niet alleen een riskfeestje
De ITDS-consultant wijst daarnaast op een ander obstakel: “Doordat uitbesteding niet centraal is geregeld, ligt de verantwoordelijkheid voor de implementatie van DORA niet alleen bij de IT- en riskafdeling, maar bij álle afdelingen die afspraken hebben gemaakt met derden. Alleen beschikken niet al deze afdelingen over de juiste risicomanagementkennis om deze uitdagingen effectief aan te pakken.”
Neem bijvoorbeeld de inkoopafdeling. “Van hen wordt verwacht dat zij een groot deel van de verantwoordelijkheid om aan de DORA-richtlijnen te voldoen op zich nemen. Zij maken immers de meeste contractuele afspraken met derde partijen en spelen een sleutelrol in het beheer van externe relaties. Echter missen zij vaak cruciale kennis van contractbeheer vanuit een risicomanagementperspectief. Dit gebrek aan kennis kan leiden tot ongewenste risico’s en problemen bij de naleving van DORA.”
Volgens Martoredjo is een samenhangende aanpak essentieel. “Om fragmentatie te voorkomen, moet je de verantwoordelijkheid niet over meerdere afdelingen verspreiden, maar centraliseren.”
Dit zorgt ervoor dat er één aanspreekpunt is voor alle DORA-activiteiten, wat de coördinatie en implementatie aanzienlijk vereenvoudigt. “Richt daarom een gespecialiseerd team op dat zich volledig richt op de coördinatie van alle DORA-activiteiten.”