Niet-naleving van DORA kan uw bedrijf geld kosten

Als reactie op een nieuw tijdperk van cyberaanvallen, toenemende downtime en datalekken is op 17 januari de Digital Operational Resilience Act (DORA) in werking getreden. Deze verordening heeft tot doel de manier waarop organisaties omgaan met beveiliging, privacy en cyberbeveiliging te hervormen. Cybercriminelen worden steeds brutaler en creatiever, en naar verwachting zal het misbruik van nieuwe kwetsbaarheden in 2025 toenemen. 

Recente trends wijzen op een alarmerende toename van cybercriminaliteit. Uit onderzoek van Security Scorecard blijkt dat 78% van de grootste financiële instellingen in Europa het afgelopen jaar te maken heeft gehad met datalekken door derden, waarvan 84% blootgesteld was aan lekken door vierde partijen. Dit onderstreept de enorme reikwijdte van cyberdreigingen binnen de financiële sector. Volgens het Global Cyber Security Outlook Report van het World Economic Forum worden kwetsbaarheden in de toeleveringsketen bovendien de grootste cyberrisico voor ecosystemen. 54% van de grote organisaties noemt uitdagingen in de toeleveringsketen als de grootste belemmering voor het bereiken van cyberweerbaarheid.  

Nu organisaties hybride werkmodellen invoeren en overschakelen op cloudgebaseerde infrastructuren, stellen ze zich onbedoeld bloot aan een groter aantal cyberaanvallen. Deze bedreigingen worden steeds geavanceerder en maken vaak gebruik van AI-technologieën om aanvalsvectoren te automatiseren. In deze context is DORA niet alleen een wettelijke verplichting, maar ook een cruciale strategie voor organisaties om hun cyberbeveiligingskaders te versterken en operationele veerkracht te bereiken. 

Volgens het Verizon Data Breach Investigations Report 2024 is ransomware de grootste bedreiging in 92% van de sectoren, waardoor snelle patching en blootstellingsbeheer belangrijker dan ooit zijn voor organisaties die voorop willen blijven lopen. Het regelgevingskader van DORA is ontworpen om de integriteit en veerkracht van digitale systemen bij financiële instellingen en externe ICT-dienstverleners in heel Europa te verbeteren. Het harmoniseert de manier waarop organisaties ICT-gerelateerde risico’s detecteren, behandelen en rapporteren om het steeds groter wordende risico op inbreuken te beperken. 

De gevolgen van niet-naleving begrijpen

Nu bedrijven steeds vaker te maken krijgen met een stijgende golf van cyberdreigingen, is DORA naar voren gekomen als een cruciaal kader dat is ontworpen om de cyberbeveiliging van financiële instellingen binnen de Europese Unie te verbeteren.  

Hoewel veel grote financiële instellingen, die al in een sterk gereguleerde sector actief zijn, doorgaans over een robuuste cyberweerbaarheid beschikken die in hun systemen is geïntegreerd, blijven nalevingskwesties zwaar wegen op de Britse financiële dienstensector. Uit een rapport van Orange Cyberdefense blijkt dat 43% van de organisaties de DORA-nalevingsdeadline waarschijnlijk niet zal halen. Nog opvallender is dat de vertragingen naar verwachting minstens drie maanden zullen duren vanwege de complexiteit van de regelgeving. 

Aangezien DORA al van kracht is, kan het invoeren van strenge voorschriften op gebieden als ICT-risicobeheer, incidentmelding, testen, het delen van informatie over bedreigingen en het beheer van risico’s van derden niet worden genegeerd zonder aanzienlijke boetes te riskeren. Organisaties moeten de relevante bevoegde autoriteit binnen vier uur na vaststelling van een incident melden als “ernstig” (met betrekking tot de impact op kritieke diensten). Na de eerste melding moet binnen 72 uur na classificatie van het incident als ernstig een gedetailleerd tussentijds rapport worden ingediend. DORA verplicht bedrijven bovendien om informatie over hun contracten met IT-leveranciers in een register te verzamelen. 

Niet-naleving van deze voorschriften kan ernstige gevolgen hebben. De wet verplicht EU-lidstaten om passende sancties in te voeren voor overtredingen, waaronder boetes van ten minste 2% van de gemiddelde dagelijkse wereldwijde omzet gedurende maximaal zes maanden of individuele boetes tot 1 miljoen euro. Kritieke externe ICT-dienstverleners die niet voldoen aan de DORA-vereisten, riskeren nog hogere boetes, operationele beperkingen en onherstelbare reputatieschade. 

Regelgevende instanties hebben de bevoegdheid om de bedrijfsactiviteiten van niet-conforme financiële instellingen te beperken of op te schorten totdat volledige naleving is bereikt. De bevoegde autoriteit heeft ook het recht om gegevensverkeerregistraties op te vragen bij telecommunicatie-exploitanten als er een redelijk vermoeden bestaat dat er sprake is van een inbreuk. Daarnaast kunnen openbare kennisgevingen worden gepubliceerd waarin de betrokkenen en de aard van de inbreuk worden vermeld. Dergelijke sancties kunnen een grotere financiële impact hebben dan alleen boetes. Opvallend is dat DORA individuele aansprakelijkheid voor bedrijfsleiders invoert met betrekking tot de nalevingstekortkomingen van hun onderneming, met een maximale boete van 1 miljoen euro. 

Een oproep tot robuuste nalevingsstrategieën  

Uit een recente proef met gegevensrapportage door de Europese toezichthoudende autoriteiten (ESA’s), waarbij 1 039 financiële instellingen betrokken waren, bleek dat slechts 6,5 % geen fouten in de gegevensrapportage rapporteerde. De meeste rapportagefouten waren toe te schrijven aan onnauwkeurigheden in de rapportage: 84 % van de fouten in de rapportage was het gevolg van ontbrekende gegevens in verplichte velden, terwijl nog eens 6,5 % te wijten was aan fouten in de wettelijke entiteitsidentificatiecodes (LEI’ ), die ook bijdroegen aan de nalevingsproblemen. 

Bedrijven en ondernemingen moeten daarom de juiste informatie verstrekken om fouten in de rapportage en problemen met de gegevenskwaliteit te voorkomen. Het is ook essentieel dat organisaties een LEI verkrijgen om aan de gegevensrapportage te kunnen deelnemen. 

Organisaties die geen proactieve en uitgebreide cyberbeveiligingsstrategieën hanteren en niet voldoen aan DORA, worden geconfronteerd met een reeks ernstige gevolgen die niet alleen hun activiteiten in gevaar kunnen brengen, maar ook hun reputatie en het vertrouwen van hun klanten. 

De weg vooruit

Het DORA-raamwerk biedt financiële instellingen en hun externe dienstverleners een gestructureerde aanpak voor het beheer van de operationele veerkracht in een steeds digitaler wordende omgeving. Samenwerking met gespecialiseerde compliancepartners kan organisaties helpen om hun weg te vinden in de complexiteit van deze regelgeving en ervoor zorgen dat naleving zich vertaalt in echte operationele kracht. 

Gezien het veranderende dreigingslandschap en de ernstige gevolgen van niet-naleving, moeten organisaties prioriteit geven aan naleving van DORA en tegelijkertijd hun cyberbeveiligingskaders versterken. Er staat veel op het spel, maar de juiste maatregelen kunnen leiden tot een veerkrachtigere en veiligere operationele omgeving voor alle betrokken partijen.