DORA is van kracht: voorkom dat je klanten uit de financiële sector verliest
Europa’s nieuwste wet, de Digital Operational Resilience Act (DORA), is sinds januari van kracht. Verreweg de meeste bedrijven hebben er echter nog nooit van gehoord. Dat terwijl niet compliant zijn op korte termijn al serieuze consequenties kan hebben.
Met de DORA is er weer een nieuwe Europese wet met de nodige impact voor organisaties binnen én buiten Europa. Wie na de implementatie van de GDPR en NIS2 denkt voorlopig op zijn lauweren te kunnen rusten, heeft het dus mis. Het grote verschil met de GDPR en NIS2? De DORA is geen abstracte richtlijn, maar een harde wet. Dat betekent dat de DORA niet eerst hoeft te worden geïmplementeerd door elke afzonderlijke lidstaat, maar directe werking heeft.
Sinds januari moeten organisaties dus eigenlijk al compliant zijn – op straffe van boetes of zelfs intrekking van licenties – maar die compliance wil nog niet altijd vlotten. En hoewel de DORA aanvankelijk alleen organisaties treft die als financiële entiteit staan geregistreerd bij DNB, is de uiteindelijke impact vele malen breder – tot aan het MKB aan toe. Bedrijven die geen besef hebben van de DORA kunnen op korte termijn al de negatieve gevolgen daarvan merken. Maar over welke gevolgen hebben we het dan precies?
Ben je toeleverancier? Dan moet je DORA-compliant zijn
Om de impact van de DORA voor jouw organisatie te kunnen bepalen, moet je eerst wat algemene kennis van deze nieuwste Europese wet hebben. De DORA beoogt financiële stabiliteit door heel Europa: transacties moeten altijd mogelijk zijn en voor kwaadwillenden moet het onmogelijk zijn ons betalingsverkeer plat te leggen. De DORA legt organisaties in de financiële sector daarom tal van verplichtingen op rondom hun IT-risicobeheer en cyberbeveiliging: banken, verzekeraars en investeringsmaatschappijen, maar bijvoorbeeld ook pensioenfondsen en handelsplatformen. De DORA legt hen bovendien verplichtingen op over de gehele toeleveringsketen: die moet van kop tot staart compliant zijn.
Ben jij dus toeleverancier aan een bank, verzekeraar of andere financiële entiteit – of hoop je dit in de toekomst te worden? Dan moet je DORA-compliant zijn, liefst zo snel mogelijk. Zo’n financiële instelling is namelijk pas compliant als haar hele toeleveringsketen dat is. De zwakste schakel bepaalt immers de betrouwbaarheid van de gehele keten.
Alleen al in Nederland zijn volgens cijfers van de DNB ruim 3.300 organisaties uit binnen- en buitenland actief die DORA-compliant moeten zijn. De gehele toeleveringsketens van die organisaties bestaat naar schatting uit tienduizenden bedrijven die allemaal de impact van de DORA gaan voelen. Die impact is dus vele malen breder dan je op het eerste gezicht zou denken. Heb je als Nederlands bedrijf nog geen kennis genomen van DORA? Dan is het de hoogste tijd om in actie te komen en te voorkomen dat je – bestaande of toekomstige – klanten uit de financiële sector verliest.
Alleen DORA-compliant bedrijven nog interessant voor financiële sector
De DORA schrijft voor dat partijen uit de financiële sector een volledig overzicht moeten hebben met welke partijen zij samenwerken, waaruit die samenwerking bestaat, waarom ze specifiek met die partijen samenwerken en welke IT-afhankelijkheden er zijn. De keuze voor een nieuwe leverancier of zakelijke partner wordt op die manier een heel bewuste: financiële entiteiten moeten haarfijn uiteenzetten waarom ze specifiek voor die ene partij gekozen hebben.
Die uitleg moet niet bestaan uit zomaar wat globale argumenten, maar moet inhoudelijk houtsnijden. Met andere woorden: partijen die hun cybersecurity goed op orde hebben, en een bedrijf uit de financiële sector dus helpen met hun eigen DORA-compliance in plaats van dat ze er een risico voor vormen, hebben een overduidelijk streepje voor. Dat hebben ze nu al, maar gaandeweg de tijd vordert en de DORA meer gemeengoed wordt binnen de financiële sector, zal dat effect naar verwachting alleen maar sterker worden.
Wil je zeker weten dat je als bedrijf nu en in de toekomst nog probleemloos zaken kunt doen met partijen uit de financiële sector? Dan is DORA-compliance onontkoombaar.
Verwerf eerst inzicht, ga vanuit daar verder
Logische stappen om te zetten, in volgorde van prioriteit, zijn:
- Verwerf basiskennis. Lees je in de DORA in en zorg dat je de globale impact leert kennen. Je zult dan ook de mogelijke risico’s voor je eigen bedrijf in kaart kunnen brengen.
- Ga na of je toeleverancier bent van partijen die te maken hebben met de DORA. Zo ja, zorg er dan voor dat DORA-compliance op de agenda van het MT of de directie komt te staan, want je moet dan in actie komen.
- Maak een risicoanalyse. Of laat deze maken. Daarmee krijg je scherp voor welke processen of bedrijfsonderdelen er risico’s bestaan met het oog op de DORA. Onderdeel hiervan is dat je ook je eigen toeleveranciers in kaart brengt, zodat je overzicht over de gehele leverketen krijgt.
- Maak inzichtelijk welke stappen je moet zetten. Het ligt in het kader van de DORA voor de hand om in ieder geval je eigen cybersecurity op orde te brengen en alleen samen te werken met hoog aangeschreven IT- en hostingpartners. Heb je hier hulp bij nodig, dan zijn er inmiddels een aantal partijen actief die je gericht kunnen helpen met compliant worden.
- Laat je regelmatig auditen en creëer duurzame compliance. Je digitale weerbaarheid op niveau brengen is geen eenmalig project, maar vergt doorlopend aandacht. Zet dus in op goede samenwerking met je IT-partners en het blijven creëren van bewustwording binnen je organisatie. Periodieke audits door gespecialiseerde partijen helpen je daarbij.
Heb je de specialismen die nodig zijn om deze stappen uit te voeren niet binnen je organisatie voorhanden? Twijfel dan niet om externe expertise aan te boren. Bedrijven die de impact van de DORA laten voor wat het is, lopen op korte termijn namelijk risico op verlies van klanten, reputatieschade en boetes. Bovendien zal het werven van nieuwe zakelijke klanten steeds meer moeite kosten.
Op middellange termijn breidt dat risico zich verder uit naar mogelijk verlies van bestaande contracten. Steeds meer organisaties zullen immers uitsluitend zaken willen doen met toeleveranciers die ook compliant zijn aan de DORA. Zorg dat je bij die groep bedrijven hoort, in plaats van bij de groep die zich afvraagt waar iedereen gebleven is.
Over de auteur: Rickert de Heus is Business Developer bij TrueFullstaq.
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond