DORA bevat vereisten voor een groot scala aan onderwerpen. Deze zijn opgedeeld in de volgende vijf thema’s:

ICT-risicobeheer: van ondernemingen wordt onder andere verwacht dat ze over een raamwerk beschikken voor ICT-risicobeheer waarmee risico’s worden gedetecteerd en gemitigeerd, en dat dit risicobeheer op gepaste wijze wordt vastgelegd. Ook dienen ondernemingen een jaarlijkse risicobeoordeling uit te voeren en de bedrijfscontinuïteit procesmatig in te richten. Het raamwerk moet worden ontwikkeld op basis van de geïnventariseerde IT-assets. Onder dit thema valt ook back-up en recovery, herstel na IT-incidenten, en de inrichting van IT-governance en -organisatie. Als onderdeel van dit laatste punt wordt IT-kennis van bestuurders een integraal onderdeel van personentoetsingen. Dit is een bestaand proces waarbij personen die het beleid van een onderneming (mede) bepalen bij aantreden getoetst worden op betrouwbaarheid en/of geschiktheid.

ICT-gerelateerde incidenten: van ondernemingen wordt verwacht dat ze incidenten en significante cyberdreigingen procesmatig beheren, classificeren en afhandelen. Ook wordt onder andere voorgeschreven dat toezichthouders actief moeten worden geïnformeerd over de afhandeling van kritieke IT-incidenten.

Testen van digitale weerbaarheid: ondernemingen moeten over een programma beschikken voor het testen van hun digitale weerbaarheid. Onderdeel hiervan is het risicogebaseerd uitvoeren van tests op IT-systemen die cruciale of belangrijke functies ondersteunen en het opvolgen van eventuele bevindingen. Denk hierbij aan vulnerability scans, penetratietesten en controles op de fysieke beveiliging van de IT-assets. Hierbij kan gebruik worden gemaakt van interne testers (mits deze voldoen aan de vereisten omtrent objectiviteit en het voorkomen van ongepaste beïnvloeding), of kan externe expertise worden ingeschakeld. Voor ondernemingen van significante omvang worden geavanceerde tests (zoals TIBER1) voorgeschreven.

Beheer van ICT-risico’s van derde aanbieders: binnen dit onderwerp worden de vereisten beschreven voor de beheersing van IT-uitbestedingen, zoals het uitvoeren van risicomanagement en het opnemen van bepaalde contractuele bepalingen (zoals ter ondersteuning van de exit-strategie). Daarnaast zullen aanbieders van IT-diensten die cruciaal zijn voor de Europese financiële sector worden onderworpen aan een Europees toezichtkader. Onder ‘derde aanbieders’ worden onder andere verleners van cloudcomputing, software- en datacentrumdiensten verstaan.

Informatie-uitwisseling over cyberdreigingen en kwetsbaarheden: de verordening beschrijft op welke wijze en onder welke voorwaarden informatie over cyberdreigingen tussen ondernemingen kan worden uitgewisseld.

Vanuit de DORA wetgeving en bestaande frameworks hebben we een volledige set aan beheersmaatregelen samengesteld om te voldoen aan de vereisten van DORA. Daarbij steunen we op bestaande, best-practice frameworks zoals;​

• Dora in control, Norea, november 2024​
• Volwassenheidsmodel informatiebeveiliging, Norea, juni 2024​
• Good practice informatiebeveiliging, DNB, december 2023​​

In totaal hebben we 103 beheersmaatregelen onderkend, verdeeld over een 10-tal categorieën​

De beheersmaatregelen zijn uitgewerkt naar verantwoordelijke rol (zoals CISO, vendormanager, medewerker IT) en gericht op toepassing door gebruik te maken van de 5W1H-methode, voor een eenvoudigere toewijzing van de controls binnen de organisatie en implementatie in de organisatie ​

Per beheersmaatregel hebben we inzichtelijk gemaakt of en op welke wijze dit kan worden uitbesteed. Door dit onderscheid kan jouw organisatie zich concentreren op de beheersmaatregelen waarvoor zij zelf verantwoordelijk zijn en afspraken maken met ‘third parties’ in verband met de borging van de resterende risico’s en maatregelen​.

Het is een vereiste om de beschrijving van de processen in relatie tot de beheersing ivm DORA ook op orde te hebben​. In dat verband hebben we standaard processen met betrekking tot ITIL beschikbaar​ waarbij relaties zijn gelegd naar de beoogde beheersmaatregelen.

Met deze uitwerking kan een vliegende start gemaakt worden om de processen binnen de organisatie op orde te krijgen, inclusief de beoogde beheersing​

Kijk bij onze whitepapers naar de aanpak die we hebben uitgewerkt voor de implementatie van DORA

Onze aanpak onderscheidt zich door een gestructureerde benadering in verschillende stappen:

1. Onderscheid maken tussen uitvoering en regie:
   Door dit inzicht krijg je focus waar je je op moet richten voor wat betreft de inrichting van de beheersing versus het maken van afspraken met derde partijen
   
2. Analyse en identificatie van gaps:
   Systematische analyse om discrepanties (gaps) te identificeren tussen de bestaande situatie en de beoogde maatregelen volgens DORA
   
3. Inzicht verschaffen in naleving van maatregelen:
   Evaluatie van de mate waarin de organisatie al voldoet aan bestaande maatregelen, waarmee een baseline voor verdere analyse wordt vastgesteld
   
4. Opstellen van een verbeterplan:
   Ontwikkeling van een gericht verbeterplan waarbij specifieke maatregelen worden gedefiniëerd om de belangrijkste tekortkomingen aan te pakken
5. Inbedden van sturing op DORA-vereisten:
   Zorgdragen dat de richtlijnen en eisen van DORA worden geïntegreerd in de huidige beheersing.

Deze gestructureerde aanpak biedt niet alleen een helder beeld van de huidige stand van zaken, maar stelt ook concrete acties voor om de naleving van DORA te verbeteren en te borgen in de organisatie.

Cruxer levert een product, het Management Control Framework, die het mogelijk maakt om invulling te geven aan de vereisten in verband met DORA