De Digital Operational Resilience Act komt eraan: Wat betekent dit voor de IT-Auditor?

27 januari, 2023

Kansen voor IT-auditors?

De Digital Operational Resilience Act die per 1 januari 2023 in werking is getreden richt zich op het uniformeren van regels over de beveiliging van informatietechnologie voor ondernemingen in de financiële sector. Waar liggen kansen voor IT-auditors?

Digitalisering en innovatie brengen kansen met zich mee, maar kunnen ook leiden tot meer (impactvolle) cyberrisico’s, ook in de financiële sector. Deze sector krijgt de komende jaren daarom te maken met een nieuwe wet- en regelgeving vanuit Europa: de Digital Operational Resilience Act (DORA). Deze nieuwe set van regels zal uniforme eisen stellen aan de beveiliging van informatietechnologie van ondernemingen die actief zijn in de financiële sector. Het doel van de verordening is om de IT-regelgeving voor de sector te harmoniseren en de digitale weerbaarheid verder te versterken. IT-auditors kunnen een belangrijke rol spelen in de voorbereidingen op deze nieuwe verordening. In dit artikel lichten we eerst toe wat de implicaties zijn van DORA op financiële ondernemingen en beschrijven we vervolgens welke bijdrage de IT-auditor hieraan kan leveren.

Wat is DORA?

DORA stelt eisen aan financiële ondernemingen ten aanzien van IT-risicomanagement, IT-incidenten, periodieke testen van digitale weerbaarheid en de beheersing van risico’s bij uitbesteding aan IT-dienstverleners. Daarnaast zijn er regelingen uitgewerkt voor het uitwisselen van informatie over cyberdreigingen. Deze vijf thema’s worden in de volgende secties verder toegelicht.

Met DORA heeft de Europese Commissie drie hoofddoelen voor ogen:

De versnipperde regels ten aanzien van digitale weerbaarheid in de EU harmoniseren;
een basiskader scheppen voor financiële organisaties waarvoor nog geen regelgeving voor is; en
het beter mitigeren van risico’s rondom uitbesteding door de financiële sector aan IT-dienstverleners.

DORA wordt van toepassing op een groot deel van de financiële ondernemingen. Bepaalde typen ondernemingen, zoals accountantsorganisaties, zijn hiervan uitgezonderd. Ook wordt er proportionaliteit toegepast, waardoor onderdelen van de verordening bijvoorbeeld niet zullen gelden voor micro- en kleine ondernemingen.

De verordening treedt vanaf januari 2023 in werking, waarna ondernemingen twee jaar de tijd hebben om hieraan te voldoen. Vanaf januari 2025 is de verordening formeel van toepassing.

Pilaren en samenvattende vereisten in DORA

DORA bevat vereisten voor een groot scala aan onderwerpen. Deze zijn opgedeeld in de volgende vijf thema’s:

ICT-risicobeheer: van ondernemingen wordt onder andere verwacht dat ze over een raamwerk beschikken voor ICT-risicobeheer waarmee risico’s worden gedetecteerd en gemitigeerd, en dat dit risicobeheer op gepaste wijze wordt vastgelegd. Ook dienen ondernemingen een jaarlijkse risicobeoordeling uit te voeren en de bedrijfscontinuïteit procesmatig in te richten. Het raamwerk moet worden ontwikkeld op basis van de geïnventariseerde IT-assets. Onder dit thema valt ook back-up en recovery, herstel na IT-incidenten, en de inrichting van IT-governance en -organisatie. Als onderdeel van dit laatste punt wordt IT-kennis van bestuurders een integraal onderdeel van personentoetsingen. Dit is een bestaand proces waarbij personen die het beleid van een onderneming (mede) bepalen bij aantreden getoetst worden op betrouwbaarheid en/of geschiktheid.

ICT-gerelateerde incidenten: van ondernemingen wordt verwacht dat ze incidenten en significante cyberdreigingen procesmatig beheren, classificeren en afhandelen. Ook wordt onder andere voorgeschreven dat toezichthouders actief moeten worden geïnformeerd over de afhandeling van kritieke IT-incidenten.

Testen van digitale weerbaarheid: ondernemingen moeten over een programma beschikken voor het testen van hun digitale weerbaarheid. Onderdeel hiervan is het risicogebaseerd uitvoeren van tests op IT-systemen die cruciale of belangrijke functies ondersteunen en het opvolgen van eventuele bevindingen. Denk hierbij aan vulnerability scans, penetratietesten en controles op de fysieke beveiliging van de IT-assets. Hierbij kan gebruik worden gemaakt van interne testers (mits deze voldoen aan de vereisten omtrent objectiviteit en het voorkomen van ongepaste beïnvloeding), of kan externe expertise worden ingeschakeld. Voor ondernemingen van significante omvang worden geavanceerde tests (zoals TIBER¹) voorgeschreven.

Beheer van ICT-risico’s van derde aanbieders: binnen dit onderwerp worden de vereisten beschreven voor de beheersing van IT-uitbestedingen, zoals het uitvoeren van risicomanagement en het opnemen van bepaalde contractuele bepalingen (zoals ter ondersteuning van de exit-strategie). Daarnaast zullen aanbieders van IT-diensten die cruciaal zijn voor de Europese financiële sector worden onderworpen aan een Europees toezichtkader. Onder ‘derde aanbieders’ worden onder andere verleners van cloudcomputing-, software- en datacentrumdiensten verstaan.

Informatie-uitwisseling over cyberdreigingen en kwetsbaarheden: de verordening beschrijft op welke wijze en onder welke voorwaarden informatie over cyberdreigingen tussen ondernemingen kan worden uitgewisseld.

De volledige verordening omvat meer maatregelen per onderwerp. De komende tijd zullen daarnaast onder leiding van de European Supervisory Authorities (ESAs) ook de zogenaamde regulatory (RTS) en implementing technical standards (ITS) worden ontwikkeld. Hierin worden de details uit de verordening verder uitgewerkt (RTS) en waar nodig worden templates, formulieren en procedures ontwikkeld (ITS).

^{1. Threat Intelligence Based Ethical Red-teaming: een programma vanuit DNB en AFM waarbij financiële instellingen testen hoe weerbaar ze zijn tegen geavanceerde cyberaanvallen.}

Impact van DORA op financiële ondernemingen en ICT-dienstverleners

Met de komst van DORA zal IT-beheersing een groter onderdeel worden van de compliance-werkzaamheden van financiële ondernemingen. De impact op financiële ondernemingen zal wisselen per type organisatie. Voor grote onderneming kan de nieuwe verordening een vermindering in complexiteit van regelgeving betekenen. Voor kleinere ondernemingen en nieuwe marktdeelnemers zullen er mogelijk meer nieuwe processen moeten worden ingericht om aan de verordening te voldoen.

Rol van de IT-auditor

Het doel van digitale weerbaarheid is om ICT-risico’s tot een voor een organisatie aanvaardbaar niveau terug te brengen. Het is een activiteit die verschillende functies binnen de organisatie raakt. Interne en externe auditfuncties zijn belangrijke schakels in effectief ICT-risicobeheer. IT-auditors kunnen een organisatie ondersteunen bij het implementeren van doeltreffende interne beheersmaatregelen door de effectiviteit daarvan te beoordelen en een continue verbetering te bevorderen. [IIA2017]

IT-auditors kunnen een drieledige rol spelen bij het voorbereiden op DORA:

IT-auditors kunnen ten eerste inzicht verschaffen in de implicaties van DORA op bedrijfsprocessen, systemen, assets en data. Daardoor creëren IT-auditors bewustzijn over de relevante vereisten uit de nieuwe regeling. IT-auditors kunnen ook als onafhankelijke partij een adviserende rol spelen in de toepassing van het proportionaliteitaspect over welke maatregelen van toepassing zijn voor hun organisatie.
In DORA worden op onderdelen ook specifieke verwachtingen over IT-audits geformuleerd. Zo wordt gesteld dat IT-auditors het ICT-risicobeheersingskader periodiek moeten controleren op basis van een uitgewerkt auditplan, en dat zij hiervoor over voldoende kennis en deskundigheid dienen te beschikken. Van een onderneming wordt verwacht dat een model voor intern risicobeheer en -controle is ingericht (zoals de three lines), en dat uitkomsten van audits procesmatig worden opgevolgd.
Afhankelijk van de volwassenheidsniveaus van hun ondernemingen kunnen IT-auditors ervoor kiezen om assurance-opdachten (zoals richtlijn 3000), overeengekomen specifieke werkzaamheden (OSW) (Richtlijn 4401) of een onderzoek op basis van IIA-standaarden uit te voeren voor een initieel assessment op DORA-compliance. Omdat DORA in 2025 van kracht wordt, kan een OSW of onderzoek op basis van IIA-standaarden een goed begin zijn. IT-auditors kunnen hiermee onafhankelijk inzicht verschaffen in de huidige afwijkingen ten opzichte van DORA. Een gap-analyse, opgesteld door een compliance- en/of risicomanagementfunctie, kan ook in het jaarplan of opdrachtplan van interne auditfuncties meegenomen worden voor het bepalen van de scope van auditwerkzaamheden in 2023. Interne IT-auditors kunnen daarbij ook de gap-analyse en de actieplannen van de tweede-lijnsfuncties ‘challengen’. Hieronder zijn per thema een aantal voorbeelden van beheersdoelstellingen opgenomen waarvoor IT-auditors in hun opdrachten opzet, bestaan en werking kunnen beoordelen.

ICT Risicobeheer

ICT risicobeheersingskader: IT-auditors controleren periodiek (bijvoorbeeld jaarlijks) of hun organisatie een ICT-risicobeheersingskader ontwikkelt en onderhoudt. Hierbij beoordelen ze bijvoorbeeld of de risico’s op het gebied van informatiebeveiliging en cybersecurity in het ICT-risicobeheersingskaderzijn geadresseerd en de risicotoleranties ten aanzien daarvan zijn bepaald en vastgelegd.

IT assetmanagement: IT-auditors kunnen controleren of hun organisaties integraal inzicht hebben in de IT-assets waar bedrijfsprocessen van afhankelijk zijn, bijvoorbeeld met een Configuration Management Database (CMDB). Ze kunnen beoordelen of organisaties de CMDB gebruikt om te bepalen in hoeverre IT-assets zijn geïnstalleerd conform een veilige uitgangssituatie (baseline). IT-auditors kunnen controleren of verschillen worden geanalyseerd en waar nodig oude systemen van security updates zijn voorzien.

Businesscontinuïteitsmanagement: IT-auditors kunnen controleren of het continuïteitsplan van hun onderneming toereikend is en of het plan periodiek getest wordt. Ze kunnen beoordelen of hun onderneming ketenpartners meeneemt in het testen van continuïteitsmaatregelen. IT-auditors kunnen ook controleren of cybersecurity-dreigingen zoals ransomware, DDOS en supply chain²-aanvallen expliciet in de testscenario’s opgenomen worden.

_{2. Voorbeeldincidenten zijn Kaseya, Log4J en Spring4shell}

ICT-gerelateerde incidenten

Incidentmanagement: IT-auditors kunnen controleren of er processen zijn ingericht zodat ICT-gerelateerde incidenten gemeld, geregistreerd en geclassificeerd worden. Ze kunnen beoordelen of de impact van geregistreerde beveiligingsincidenten is vastgesteld en noodzakelijke opvolging is gegeven. IT-auditors kunnen controleren of de ICT-gerelateerde incidenten in SIEM³ -tools consistent en in lijn met het incidentmanagementproces worden behandeld en gemonitord. Daarnaast kunnen IT-auditors beoordelen of hun onderneming een proces heeft voorbereid voor het direct melden van ernstige ICT-incidenten aan de relevante bevoegde autoriteiten.

_{3. SIEM: Security information and event management}

Testen van digitale operationele veerkracht

Vulnerability scans: IT-auditors kunnen controleren of organisaties tools gebruiken om kwetsbaarheden geautomatiseerd te inventariseren. Ze kunnen beoordelen of organisaties structureel en risicogebaseerd bepalen wat de impact van deze kwetsbaarheden op de eigen IT-assets is en of hier gepaste maatregelen voor getroffen worden.

Penetration tests: IT-auditors kunnen controleren of organisaties verschillende typen tests uitvoert, waaronder jaarlijkse pentests gericht op de beveiliging van kritische infrastructuur en applicaties. Als een organisatie op basis van de omvang en het cybervolwassenheidsniveau vanuit DORA als pentest-plichtig is aangewezen, kunnen IT-auditors controleren of deze organisaties – als dit nog niet het geval was - voorbereidingen treffen om dreigingsgestuurde penetratietests (zoals TIBER-NL) te laten uitvoeren.

Beheer van ICT-risico’s van derde aanbieders

Management van uitbesteding en uitbestedingsovereenkomst: IT-auditors kunnen beoordelen of organisaties in hun risicomanagement- en interne controlesysteem rekening houden met de uitbestede IT-activiteiten. Ze kunnen controleren of het uitbestedingsbeleid van hun ondernemingen waarborgt dat voor IT-activiteiten die zijn uitbesteed blijvend wordt voldaan aan wettelijke vereisten in DORA, zoals een selectieproces, monitoring van de uitvoering/effectiviteit van de diensten, exit-strategieën, onderaanbestedingsregelingen en contractuele bepalingen.

Registratie van alle ICT-uitbestedingsrelaties: IT-auditors kunnen controleren of organisaties een juiste en volledige registratie bijhouden met informatie van de ICT-diensten die zij uitbesteden, waaronder de gegevens van alle uitbestedingsrelaties en relevante onderuitbestedingen. Ze kunnen beoordelen of er processen aanwezig zijn die waarborgen dat nieuwe uitbestede ICT-diensten en risicoanalyses daarvan aan de bevoegde autoriteiten worden gerapporteerd.

Regelingen voor informatie-uitwisseling

Threat intelligence: IT-auditors kunnen beoordelen of organisaties tijdig geïnformeerd worden over cyber dreigingen. Ze kunnen controleren of een dienst van een externe partij afgenomen is die relevante threat intelligence levert. IT-auditors kunnen ook controleren of organisaties lid zijn van verenigingen of andere sectorale organisaties die kennis en ervaring uitwisselen op het gebied van cybersecurity, zoals ISAC’s4.

_{4. ISAC: Information sharing and analysis center}

Conclusie

DORA stelt uniforme eisen aan de beveiliging van informatietechnologie van financiële ondernemingen. Deze verordening treedt begin 2023 in werking, waarna ondernemingen twee jaar de tijd hebben om compliant te zijn. Vanaf januari 2025 is de verordening formeel van toepassing.
IT-Auditors kunnen een belangrijke rol spelen in de voorbereidingen op DORA:
- IT-auditors kunnen kritische vragen stellen over de toepassing van deze nieuwe verordening op hun ondernemingen. Ze helpen daardoor organisaties de tijd en middelen in te zetten om compliant te zijn met de vereisten in deze verordening.
- IT-auditors kunnen inzicht verschaffen in de implicaties van DORA op bedrijfsprocessen, systemen, assets en data in hun organisaties. Ze creëren daardoor draagvlak bij organisaties voor het doorvoeren van IT-verbeteringen op het gebied van DORA-compliance.
- Via een initieel assessment kunnen IT-auditors onafhankelijk inzicht verschaffen in de huidige afwijkingen ten opzichte van DORA. IT-auditors kunnen hiervoor in hun opdrachten een expliciete link met DORA leggen door opzet, bestaan en werking te beoordelen van bijvoorbeeld ICT-risicobeheer, IT-assetmanagement, continuïteitsbeheer, incidentmanagement, vulnerability management, threat intelligence en management van uitbestede diensten.
- Daarnaast worden er bijvoorbeeld op het gebied van risicomanagement specifieke verwachtingen over IT-auditors geformuleerd, zoals het periodiek controleren van het ICT-risicobeheersingskader op basis van een uitgewerkt auditplan.

Literatuur

[AFM2021], ‘Nieuw kader in de maak voor digitale weerbaarheid in de financiële sector, 2021, geraadpleegd op 7 december 2022
[AFM2022], ‘Marktindrukken 2022’, geraadpleegd op 7 december 2022
[IIA2017], ‘IIA Standaarden’, 2017, geraadpleegd op 7 december 2022
[NCSC], ‘Handreiking ISAC, 2020, geraadpleegd op 21 december 2022

Auteurs

Kunter Orpak MBA, RE, CISSP, CCSP, CISA, CIA, ISO27001LA, CSX-F, CFSA, CCSA | TIBER-testmanager bij de Autoriteit Financiële Markten

Kunter Orpak werkt bij de Autoriteit Financiële Markten als TIBER-testmanager. Hiervoor werkte hij als senior toezichthouder op het gebied van operationele en IT-risico’s, waarbij hij zich voornamelijk richtte op informatiebeveiliging. Kunter heeft meerdere jaren ervaring als interne auditor bij verschillende financiële ondernemingen. Kunter is lid van de NOREA, de IIA Nederland, de ISACA NL Chapter en de ISC2.

Victoria van der Mark MSc RE CISSP | Toezichthouder Operational & IT-Risk bij de Autoriteit Financiële Markten

Victoria van der Mark werkt bij de Autoriteit Financiële Markten als toezichthouder op het gebied van operationele en IT-risico’s, waarbij ze zich voornamelijk richt op informatiebeveiliging. Hiervoor was zij werkzaam als IT-Auditmanager bij de Auditdienst Rijk.