DORA verplichtingen

 

DORA verplichtingen en ISO27001

DORA verplichtingen. DORA - Digital Operational Resilience Act - is ontworpen om de financiële sector beter te beschermen tegen de steeds grotere digitale risico's en cyberbedreigingen. Door de nadruk te leggen op risicobeheer, incidentrespons, continuïteit, en toeleveranciersbeheer, streeft DORA naar een veerkrachtige en betrouwbare digitale infrastructuur in de financiële sector van de EU. De DORA verplichtingen vereisen een gestructureerde aanpak en voortdurende aandacht van organisaties.
ISO27001. De internationale managementsysteem norm voor informatiebeveiliging is ISO27001 en overlappend met cybersecurity. Werkt de organisatie al volgens ISO27001 of is zelfs gecertificeerd tegen ISO27001, dan geeft dat een grote voorsprong op DORA zoals hieronder wordt getoond. Betekent wel dat een (werkend) ISMS - Information Security Management System aanwezig moet zijn.

 

Wat is DORA

DORA is een sectorspecifieke en juridisch bindende verordening voor digitale operationele weerbaarheid binnen de financiële sector, terwijl ISO 27001 een universeel toepasbare standaard is die zich richt op informatiebeveiligingsmanagementsystemen. Beide bieden waardevolle richtlijnen, maar hun focus en toepassing verschillen.

 

Wat is ISO27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. Deze ISO 27001 norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

 

DORA en ISO27001 - overeenkomsten en verschillen

DORA en ISO 27001 delen een focus op het waarborgen van veiligheid en weerbaarheid tegen digitale risico’s, maar verschillen in hun toepassing en doel. Beide benadrukken risicobeheer, incidentrespons, en continuïteitsplanning, maar DORA is een sectorspecifieke, verplichte EU-verordening gericht op de financiële sector, terwijl ISO 27001 een vrijwillige, algemeen toepasbare internationale standaard is voor informatiebeveiliging. DORA legt daarnaast meer nadruk op het beheer van derde partijen en toeleveranciers, met name in het kader van kritieke IT-dienstverleners, terwijl ISO 27001 breder inzetbaar is en geschikt is voor elk type organisatie, ongeacht sector of omvang.

 

DORA verplichtingen

De maatregelen die moeten worden genomen om aan de zorgplicht van DORA te voldoen:

 

1. ICT-risicobeheer

  • Stel een robuust ICT-risicobeheerraamwerk op.
  • Voer regelmatig risicoanalyses uit en identificeer bedreigingen.
  • Implementeer beveiligingsmaatregelen zoals monitoring, patchmanagement en toegangsbeheer.

2. Incidentbeheer

  • Richt een proces in voor detectie, documentatie, en respons op ICT-incidenten.
  • Meld ernstige incidenten binnen de vereiste termijn aan toezichthouders.
  • Documenteer de lessen die zijn geleerd van eerdere incidenten.

3. Bedrijfscontinuïteit en herstelplanning

  • Ontwikkel en onderhoud plannen voor bedrijfscontinuïteit en disaster recovery.
  • Zorg voor veilige en regelmatige back-ups van gegevens.
  • Test de continuïteits- en herstelplannen periodiek.

4. ICT-testen

  • Voer regelmatige penetratietests uit op ICT-systemen.
  • Voor kritieke instellingen: implementeer threat-led penetration testing (TLPT).
  • Gebruik resultaten van tests om beveiligingsmaatregelen te verbeteren.

5. Beheer van derde partijen

  • Evalueer risico’s bij het inschakelen van ICT-dienstverleners.
  • Sluit contracten met duidelijke afspraken over beveiliging, prestaties en continuïteit.
  • Monitor en beoordeel regelmatig de prestaties van externe partijen.
  • Beperk afhankelijkheid van een beperkt aantal kritieke leveranciers.

6. Rapportage en monitoring

  • Houd een incidentlogboek bij en rapporteer relevante incidenten aan autoriteiten.
  • Monitor ICT-prestaties continu en gebruik KPI’s om risico’s te beheersen.
  • Zorg voor transparante rapportages naar toezichthouders.

7. Governance en verantwoordelijkheid

  • Integreer ICT-risicobeheer in de bestuursstructuur.
  • Train het bestuur en personeel in digitale weerbaarheid en risicobewustzijn.
  • Wijs duidelijke verantwoordelijkheden toe binnen de organisatie.

8. Toezicht op kritieke dienstverleners

  • Stel kritieke derde partijen bloot aan strenge beoordeling en due diligence.
  • Zorg dat deze leveranciers voldoen aan continuïteit- en beveiligingseisen.
  • Werk samen met toezichthouders voor beoordeling van risico’s bij derde partijen.

9. Beveiliging van IT-systemen

  • Zorg voor netwerk- en applicatiebeveiliging door middel van firewall- en antivirusoplossingen.
  • Implementeer sterke toegangscontroles en multi-factor authenticatie (MFA).
  • Voer audits en kwetsbaarheidsanalyses uit op ICT-systemen.

10. Samenwerking en coördinatie

  • Werk samen met andere financiële instellingen en toezichthouders om sectorbrede risico’s aan te pakken.
  • Deel informatie over bedreigingen en kwetsbaarheden met relevante partners.

 

ISO27001 Annex A

Naast de risicoanalyse die een integraal onderdeel vormt van deze managementsysteem-norm, zijn een groot aantal aanvullende maatregelen van toepassing, de zogenaamde Annex A. Deze zijn duidelijk ondersteunend in de hierboven aangegeven DORA verplichtingen.

 

 5        Organisatorische maatregelen    

 5.1     Beleid voor informatiebeveiliging     

 5.2     Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging 

 5.3     Functiescheiding     

 5.4     Beheersverantwoordelijkheden      

 5.5     Contact met autoriteiten     

 5.6     Contact met speciale belangengroepen      

 5.7     Bedreigingsinformatie      

 5.8     Informatiebeveiliging in projectmanagement     

 5.9     Inventarisatie van informatie en andere bijbehorende assets      

 5.10   Aanvaardbaar gebruik van informatie en andere bijbehorende assets     

 5.11   Teruggave van assets     

 5.12   Classificatie van informatie      

 5.13   Labellen van informatie     

 5.14   Informatieoverdracht     

 5.15   Toegangsbeveiliging     

 5.16   Identiteitsbeheer      

 5.17   Authenticatie-informatie      

 5.18   Toegangsrechten      

 5.19   Informatiebeveiliging in leveranciersrelaties      

 5.20   Aanpak informatiebeveiliging binnen leveranciersovereenkomsten      

 5.21   Beheer van informatiebeveiliging in de ICT-toeleveringsketen     

 5.22   Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten      

 5.23   Informatiebeveiliging bij het gebruik van cloud diensten      

 5.24   Planning en voorbereiding van informatiebeveiligingsincidenten      

 5.25   Beoordeling en besluit over informatiebeveiligingsgebeurtenissen     

 5.26   Reactie op informatiebeveiligingsincidenten     

 5.27   Leren van informatiebeveiligingsincidenten     

 5.28   Verzameling van bewijs      

 5.29   Informatiebeveiliging tijdens verstoring      

 5.30   ICT-gereedheid voor bedrijfscontinuïteit     

 5.31   Identificatie van wettelijke, statutaire, regelgevende en contractuele vereisten      

 5.32   Intellectuele eigendomsrechten     

 5.33   Gegevensbescherming     

 5.34   Privacy en bescherming van PII      

 5.35   Onafhankelijke beoordeling van informatiebeveiliging     

 5.36   Naleving van beleidslijnen en normen voor informatiebeveiliging      

 5.37   Gedocumenteerde bedieningsprocedures     

           

 6.       Maatregelen tav mensen     

 6.1     Screening      

 6.2     Arbeidsvoorwaarden     

 6.3     Bewustwording, opleiding en training op het gebied van informatiebeveiliging     

 6.4     Disciplinair proces      

 6.5     Verantwoordelijkheden na beëindiging of verandering van dienstverband     

 6.6     Geheimhoudings- of geheimhoudingsovereenkomsten     

 6.7     Werken op afstand      

 6.8     Rapportage van informatiebeveiligingsgebeurtenissen     

           

 7.       Fysieke maatregelen      

 7.1     Fysieke beveiligingszone     

 7.2     Fysieke toegangscontroles      

 7.3     Beveiligen van kantoren, kamers en faciliteiten      

 7.4     Fysieke beveiligingsmonitoring      

 7.5     Bescherming tegen fysieke en omgevingsbedreigingen     

 7.6     Werken in beveiligde ruimtes     

 7.7     Clear desk, clear screen     

 7.8     Plaatsing en bescherming van de uitrusting      

 7.9     Beveiliging van assets buiten de bedrijfsruimten     

 7.10   Opslagmedia      

 7.11   Ondersteunende systemen     

 7.12   Bekabelingbeveiliging      

 7.13   Onderhoud van de apparatuur      

 7.14   Veilige verwijdering of hergebruik van apparatuur     

           

 8.       Technische maatregelen     

 8.1     Eindgebruikers apparatuur      

 8.2     Speciale toegangsrechten     

 8.3     Beperking van toegang tot informatie      

 8.4     Toegang tot broncode     

 8.5     Beveiligde authenticatie      

 8.6     Capaciteitsbeheer      

 8.7     Bescherming tegen malware      

 8.8     Beheer van technische kwetsbaarheden      

 8.9     Configuratiebeheer      

 8.10   Informatie verwijderen     

 8.11   Gegevensmaskering      

 8.12   Preventie van datalekken     

 8.13   Informatie back-up      

 8.14   Redundantie van informatieverwerkingsfaciliteiten      

 8.15   Loggen      

 8.16   Bewaking van activiteiten     

 8.17   Kloksynchronisatie     

 8.18   Gebruik van geprivilegieerde hulpprogramma's      

 8.19   Installatie van software op operationele systemen      

 8.20   Netwerkbediening     

 8.21   Beveiliging van netwerkdiensten      

 8.22   Segregatie in netwerken     

 8.23   Webfiltering      

 8.24   Gebruik van cryptografie      

 8.25   Veilige ontwikkelingslevenscyclus      

 8.26   Beveiligingsvereisten voor toepassingen     

 8.27   Veilige systeemarchitectuur en engineeringprincipes     

 8.28   Veilig programmeren      

 8.29   Beveiligingstesten in ontwikkeling en acceptatie      

 8.30   Uitbestede ontwikkeling     

 8.31   Scheiding van ontwikkel-, test- en productieomgevingen      

 8.32   Wijzigingsbeheer      

 8.33   Testinformatie      

 8.34   Bescherming van informatiesystemen tijdens audit en testen     

 

ISMS voor ISO27001, praktisch voorbeeld

Ook al zet je een ISO 27001 managementsysteem als cloudoplossing in 60 sekonden klaar, stapsgewijs toewerken naar een geïmplementeerd en certificeerbaar ISMS vereist de noodzakelijke aandacht. Hieronder een voorbeeld basisopzet van een ISMS - Information Security Management System. Voor de vereiste 'controls' (maatregelen) hebben weer onze business partner Meta-audit.nl met enkele overzichten en de verplichte documenten. (Voor hun digitale lijstje of starterspakket, klik dan hier.) Hun kennis is verwerkt in onderstaande demo-omgevingen. 'Beter goed geleend dan slecht bedacht' .... :=)
 

DORA verplichtingen en ISO27001

 

DORA verplichtingen en ISO27001

 

Klik voor een impressie van het Metaware platform als ISMS op onderstaande video.

 

Demo systemen:

Log automatisch in bij één van de demo systemen en ervaar hoe het werkt:

ISO 27001 - Informatiebeveiliging 

BIO - Baseline Informatiebeveiliging Overheid

NEN 7510 - Informatiebeveiliging in de Zorg

Start nu je gratis proefperiode

Wij hebben geen 'glimmende folders'. Ga meteen zelf achter de knoppen zitten en ervaar het gemak, overzicht en de productiviteitsverbetering.
Wij helpen je online en verrijken je met de ervaring en 'best practices' van andere gebruikers.

Start Nu