Alexandre Vandeput
Cyberbeveiliging en bredere operationele veerkracht moeten voor elke financiële instelling topprioriteiten zijn
Nu we allemaal steeds intensiever met elkaar verbonden zijn, kan digitale kwetsbaarheid tot ernstige verstoringen leiden van de systemen van banken, waardoor klantgegevens in gevaar komen. Met nieuwe Europese regels in het verschiet moeten financiële dienstverleners eerder vroeger dan later in actie komen om hun klanten en bedrijven te beschermen.
Digitalisering is overal om ons heen en verandert onze interacties met elkaar, met de instellingen waarvoor we werken en met de autoriteiten die ons besturen. Ook de financiële wereld – banken, verzekeraars, betalingsbedrijven en andere dienstverleners – omarmt een digital-first toekomst.
Dit nieuwe landschap houdt een aantal duidelijke gevaren in voor de veiligheid van ons geld en onze gegevens. Daarom moeten cyberbeveiliging en bredere operationele veerkracht voor elke financiële instelling topprioriteiten zijn. Tegelijkertijd is waakzaamheid geboden opdat innovatie niet in de kiem wordt gesmoord – een lastige evenwichtsoefening.
Wacht niet op de EU om digitale kwetsbaarheden aan te pakken.
De Europese Unie wil de financiële sector positioneren als wereldleider op het gebied van digitale innovatie en is zich terdege bewust van deze bedreigingen en kansen. Vandaar de Digital Operational Resilience Act, kortweg DORA. Deze act introduceert een gemeenschappelijke reeks regels om de risico’s van informatie- en communicatietechnologie (ICT) in de hele sector te beperken, en met name om ervoor te zorgen dat maatregelen worden genomen ter bescherming tegen cyberaanvallen en andere risicobronnen.
Zelfde activiteit, zelfde risico, zelfde regels
Deze waarborgen zijn bedoeld om belangrijke doelstellingen als gegevensuitwisseling en open financiering te bevorderen, terwijl de zeer hoge EU-normen voor privacy en gegevensbescherming gehandhaafd blijven. DORA zal naar verwachting vóór eind 2022 in nationale wetgeving worden omgezet. Hoewel bedrijven 24 maanden de tijd krijgen om aan de wet te voldoen, zijn er duidelijke voordelen voor financiële spelers die DORA aangrijpen om de digitale revolutie resoluut te omarmen.
Als eerste stap moeten financiële instellingen hun ICT-risico’s in kaart brengen en aanpakken. Eén benadering is het gebruik van systemen die onverwachte activiteiten kunnen detecteren. Ook zet DORA in op het testen van de weerbaarheid van digitale systemen tegen interne medewerkers en externe bedreigingen. DORA harmoniseert niet alleen de manier waarop instellingen ICT-gerelateerde incidenten rapporteren, maar stelt hen ook in staat onderling informatie over cyberdreigingen te delen.
Een toenemend aantal digitale dienstverleners ondersteunt financiële instellingen, met name zogenaamde kritische derde partijen, die cruciale diensten leveren maar niet aan de bestaande regelgeving hoefden te voldoen. Zij zullen nu naar een hogere versnelling moeten schakelen volgens het DORA-beginsel ‘zelfde activiteit, zelfde risico, zelfde regels’.
Niet uitstellen, nu aanpakken
Hoewel er meer duidelijkheid moet komen over een aantal, meer technische aspecten van DORA, kunnen belangrijke eerste stappen nu al worden gezet – met name het maximaliseren van de veerkracht van digitale structuren. Een van de belangrijkste manieren om daarvoor te zorgen is via een ijzersterk Information Security Management System (ISMS). Dit biedt bedrijven de kans om hun meest kritieke activa te beveiligen: bijvoorbeeld door periodieke penetratietests uit te voeren met behulp van bekende technieken die door cybercriminelen worden gebruikt.
Met beoordelingen van potentiële zwakke punten binnen de eigen onderneming – en haar externe dienstverleners – kunnen (cyber)risico’s worden opgespoord en beperkt. Bedrijven moeten zich ook richten op het definiëren van de beoordelingen, testscenario’s, methodologieën en externe partijen die nodig zijn om een testprogramma voor digitale operationele veerkracht te ondersteunen. De betrokkenheid van het senior management is van cruciaal belang. Een van de grootste fouten die een bedrijf kan maken is dit te behandelen als slechts een tick-box oefening.
Fout opgemerkt of meer nieuws? Meld het hier