Door Ilias Chantzos, Global Privacy Officer en Head of EMEA Government Affairs, Broadcom Inc.
Als het gaat om het vermijden van ransomware-aanvallen, is geen enkele sector meer veilig. Toch blijft met name de financiële dienstverlening een favoriet doelwit van cybercriminelen.
Financiële instellingen werden in 2021 inderdaad onevenredig zwaar getroffen door ransomware, en de eerste indicaties voor het nieuwe jaar wijzen op meer van hetzelfde voor 2022.
Beleidsmakers over de hele wereld erkennen dit verhoogde risico, dat nog is versterkt door de recente geopolitieke spanningen. De Europese Unie (EU) heeft een voorstel opgesteld voor een uniform kader om het risicobeheer voor financiële instellingen te reguleren. Dit staat bekend als de Digital Operational Resilience Act (DORA) en markeert een belangrijke mijlpaal voor de 27 lidstaten van de Unie. Het voorstel, dat zich nu in een vergevorderd onderhandelingsstadium bevindt, brengt een gemeenschappelijke benadering van cyberbeveiliging en governance voor financiële dienstverleners en hun toeleveringsketen voor informatie- en communicatietechnologie (ICT) in alle landen van de Europese Unie (EU).
De impact van DORA
DORA, dat naar verwachting binnenkort zal worden aangenomen, heeft directe gevolgen voor de meeste aanbieders van financiële diensten, waaronder banken, verzekeringsmaatschappijen, beursvennootschappen, crypto-valutabeurzen en gerelateerde fintech-bedrijven. Die instellingen zullen, zodra DORA afdwingbaar wordt, worden verplicht om te voldoen aan haar normen met betrekking tot contractvoorwaarden, supply chain management, governance, minimale niveaus van zakelijke veerkracht en cyberbeveiliging. Bij het niet naleven van deze normen worden organisaties geconfronteerd met aanzienlijke financiële en andere sancties.
Misschien is de gemakkelijkste manier om de impact die DORA zal hebben op wereldwijde financiële bedrijven en hun toeleveringsketen te begrijpen, te kijken naar de impact die de EU-norm voor gegevensprivacy en gegevensbeheer, de Algemene Verordening Gegevensbescherming, heeft gehad.
De AVG verving op dezelfde manier een verscheidenheid aan wetten die door de afzonderlijke landen van de EU zijn aangenomen door één enkele regelgevende norm die echte handhavingselementen heeft voor niet-naleving. De AVG maakte het behoorlijk belastend en steeds riskanter om niet aan de regels te voldoen.
Van DORA wordt verwacht dat het een vergelijkbare impact zal hebben op de manier waarop grote financiële instellingen zaken doen, door verschillende aspecten van hun processen te reguleren via één enkel instrument en door prikkels te bieden om hun zakelijke veerkracht te verbeteren. Het regelgevende bereik van de voorgestelde wet zal zich uitstrekken tot leveranciers van toeleveringsketens en onderaannemers die als “kritiek” worden beschouwd, waaronder alles, van kleine tot middelgrote bedrijven tot grootschalige cloudinfrastructuurserviceproviders.
DORA zal een uniforme set van vereisten voor de toeleveringsketen creëren, variërend van melding van incidenten tot contractuele voorwaarden, strategieën voor het verlaten van klanten en KPI-monitoring. Gezien de omvang en het belang van de financiële markten van de EU, is het waarschijnlijk dat deze vereisten zullen worden aangenomen door financiële instellingen en regelgevers over de hele wereld – waardoor DORA een standaard wordt die een veel breder bereik heeft dan alleen Europa.
Hoe wettelijke vereisten op elkaar inwerken
DORA’s regime van regels op het gebied van cyberbeveiliging is goed afgestemd op een reeks adviesaanbevelingen, het Cyber Security Framework (CSF), gepubliceerd door het Amerikaanse National Institute of Standards and Technology. Maar hoewel de CSF-richtlijnen puur adviserend zijn, zal DORA naleving verplichten en organisaties verplichten om aan te tonen dat aan bepaalde voorwaarden wordt voldaan door financiële diensten in staat te stellen hun toeleveringsketen te controleren en regelgevers om toezicht te houden op zowel de financiële instellingen als bepaalde dienstverleners die zullen worden aangewezen om kritisch.
De huidige richtlijnen van de Europese Bankautoriteit (EBAG), een voorloper van DORA, geven financiële toezichthouders al een deel van dit toezicht in de vorm van richtlijnen. DORA gaat verder met extra componenten die EBAG niet heeft. En hoewel EBAG regelgevende richtlijnen is waarvan men op eigen risico kan afwijken, zal DORA de kracht van de wet hebben: niet-naleving van de vereisten zal leiden tot echte straffen.
Zodra ze zijn aangenomen, zullen de DORA-mandaten aanvullende verplichtingen creëren voor financiële instellingen en andere ondernemingen om upgrades van hun cyberbeveiligingscapaciteiten te versnellen, aangezien ze aantoonbaar bewijs moeten leveren van penetratietests voor bedreigingen, detectie en reactie van cyberbeveiligingsincidenten, paraatheid bij rampen en prestatiemeting.
In Europa hoor je wel eens klachten over de AVG. Maar ik weet dat als er een datalek is, er een gemeenschappelijk basisbegrip zal zijn van de acties die moeten worden ondernomen en de meldingen die binnen een bepaalde tijdlijn moeten plaatsvinden, meestal tot 72 uur als het gaat om de privacytoezichthouder. Dit is het gevolg van het feit dat de AVG één, veelvoorkomende norm voor datalekken is. Als er ergens in de VS een datalek is, is het mogelijk dat er meerdere inbreuknormen van toepassing zijn waardoor er verschillende meldingsvereisten zijn. Bij het beheren van bedrijfsrisico’s is eenvoud de sleutel. Vaak maakt een enkele, duidelijke regelgevende norm die van toepassing is op het hele bedrijf in meerdere rechtsgebieden het gemakkelijker om middelen te bundelen, teams te concentreren, efficiëntie te stimuleren en de aandacht van het management te krijgen.
Ondanks enkele twistpunten boekt de EU vooruitgang met het creëren van een regelgevende blauwdruk voor cyberbeveiliging door kritieke infrastructuur, financiële diensten, internet der dingen, standaardisatie, privacy en cybercriminaliteit aan te pakken. Het is een poging om bepaalde uitdagingen aan te pakken, maar ook een manier om een bestuursmodel te exporteren.
Cybersecurity-bedreigingen zijn reëel. De recente pandemie-ervaringen en huidige geopolitieke uitdagingen laten zien hoe afhankelijk we zijn geworden van technologie. Het zou ons niet moeten verbazen dat dit meer regelgevende aandacht trekt aan beide zijden van de Atlantische Oceaan. Als iets waardevol is, wordt het immers gereguleerd.
Neem hier contact met ons op voor meer informatie over hoe Broadcom Software uw bedrijf kan moderniseren, optimaliseren en beschermen.
Over Ilias Chantzos:
Broadcom-software
Ilias is de Global Privacy Officer en de Head of Government Affairs-programma’s voor Europa, het Midden-Oosten en Afrika (EMEA) van Broadcom. Hij leidt het wereldwijde privacyprogramma in de verschillende business units en regio’s van het bedrijf.
