DDCgroup Logo

Nieuwe Europese wetgeving DORA: een integrale aanpak voor het beheer van ICT-risico’s

6 december 2023

Waarschijnlijk heb je het al voorbij zien komen: vanaf 17 januari 2025 moeten financiële instellingen en IT-serviceproviders die deze organisatie bedienen, voldoen aan de Digital Operational Resilience Act (DORA). Het aantal cyberaanvallen en datalekken neemt toe en met deze nieuwe wetgeving wil de Europese Unie financiële organisaties weerbaar maken tegen deze digitale dreigingen.

De thema’s binnen DORA:

  • IT-governance en risico management: mogelijke risico’s identificeren en hoe men deze kan classificeren en verhelpen. Dit inzicht zorgt dat de potentiële impact op de organisatie bekend is en wordt verantwoord.
  • IT-incident management: het rapporteren van specifieke incidenten, maar ook het vermogen om ze te detecteren en de mogelijkheid om deze automatisch te herstellen.
  • Digital resilience testing: beveiliging- en resilience testing moeten een ‘must’ worden. Er is een testprogramma nodig dat alle kritieke systemen en toepassingen omvat, dat een multidimensionaal beveiligingsoverzicht en een gedegen risicogebaseerde aanpak heeft om ervoor te zorgen dat alle relevante beveiligingsaspecten en dreigingen aan bod komen.
  • Derde partijen risicomanagement: de financiële entiteit is volledig verantwoordelijk voor de naleving en de verantwoording van alle verplichtingen van het ICT-risico van derde aanbieders. Dit risico moet inzichtelijk zijn. De IT-serviceproviders moeten geauditeerd kunnen worden. Hierbij kan men verwachten dat onder andere organisatieprocessen en NDA’s gecontroleerd worden.
  • Informatie en intelligentie delen: om de weerbaarheid te versterken kunnen financiële entiteiten onderling informatie en inlichtingen over cyberdreiging uitwisselen, zoals indicatoren voor aantasting, tactieken, technieken en procedures, cyberbeveiligingswaarschuwingen en configuratie-instrumenten.

Voor de meeste organisaties zal het gaan om een opschaling van de reeds genomen maatregelen.

Ons advies: wacht niet te lang met de implementatie. Het is een complexe verandering met veel aspecten door veel verschillende lagen van de organisatie heen. Extra aandacht voor data governance is hierbij cruciaal. Met INDIGO (INtegraal Data - en Informatie GOvernance) krijg je inzicht en daarmee overzicht van je informatielandschap. Je kunt op eenvoudige wijze aangeven waar in het informatielandschap bedrijfskritische dan wel risicovolle data zich bevinden, welke data naar derden gaat, wie de eigenaar is van die data, wie men moet informeren in het geval van een datalek etcetera. Dit alles en meer is noodzakelijk om te voldoen aan de DORA compliancy.

Wil je graag meer weten over hoe INDIGO je helpt om aan de DORA compliancy te voldoen? Neem dan contact op met Jan Huijgers: +31 (0)6 55156801 | jan.huijgers@ddcgroup.com

Terug

Gerelateerd nieuws

  • Even voorstellen: nieuwe DDC- er Hassan

    6 februari 2024
    **We stellen je graag voor aan onze nieuwe stagiair Hassan Mohamed!** Hallo, mijn naam is Hassan en ik ben een student Business IT & Management aan de Avans Hogeschool in Breda. Ik ben op 29 januari begonnen aan mijn afstudeerstage bij DDCgroup. Tijdens mijn stageperiode zal ik me bezighouden met het ontwikkelen van een dashboard voor DDC’s oplossing INDIGO. Daarnaast zal ik ook werken aan het optimaliseren van de onderliggende processen van dit dashboard. Het doel hiervan: meer inzicht en overzicht bieden aan gebruikers. Het allerleukste aan deze opdracht vind ik het traceren van de informatiebehoeften van gebruikers en het inspelen hierop. Mijn doel voor deze periode is om een solide eindresultaat neer te zetten en hiermee voldoening te halen uit mijn werk. Ik kijk erg uit naar de komende maanden.
    Lees meer
  • De Valkuilen van AI in Bedrijfsprocessen

    20 februari 2024
    **De afgelopen jaren heeft Artificial Intelligence (AI) een hoge vlucht genomen. AI is toegankelijker dan ooit en is in de datawereld niet meer weg te denken, van tools die het inzetten om de datakwaliteit te verbeteren tot IT’ers die het gebruiken om code te genereren. Het heeft de potentie om bedrijfsprocessen te transformeren en efficiëntie te vergroten, maar het gebruik ervan brengt ook uitdagingen met zich mee. Het is belangrijk om je bewust te zijn van de mogelijke valkuilen om succesvol te navigeren in deze snel evoluerende technologische wereld – een wereld op zich.** - **Gebrek aan Kwalitatieve Data.** Het succes van AI-algoritmes is sterk afhankelijk van de kwaliteit van de gebruikte data. Onduidelijke, verouderde, vooringenomen of simpelweg foutieve datasets kunnen leiden tot vertekende of onjuiste resultaten en onnauwkeurige voorspellingen. Het is cruciaal voor bedrijven om te investeren in het verzamelen en onderhouden van hoogwaardige en kwalitatief juiste data. *Meer over het verbeteren van datakwaliteit: [www.ddcgroup.com/data-management](https://ddcgroup.com/data-management)* - **Ethiek en Bias.** AI-algoritmes kunnen onbedoelde vooroordelen bevatten, afkomstig van de data waarmee ze zijn getraind. Dit kan resulteren in discriminatie en ongelijke behandeling. Het is van essentieel belang dat bedrijven bewust omgaan met ethische kwesties, transparante besluitvorming faciliteren en regelmatig ethische beoordelingen uitvoeren. - **Onvoldoende Menselijke Controle.** Het volledig vertrouwen op AI zonder menselijke supervisie kan uitermate riskant zijn. Het is belangrijk om een balans te vinden tussen automatisering en menselijke controle. Wees bewust van de beperkingen van AI-systemen en behoud menselijke interventie, vooral bij cruciale besluitvorming. - **Complexiteit van Implementatie.** De implementatie van AI kan complex zijn en vereist vaak gespecialiseerde vaardigheden. Bedrijven moeten investeren in goed opgeleid personeel en de benodigde infrastructuur. Een gebrek aan expertise kan leiden tot suboptimale prestaties en een inefficiënte implementatie van AI-toepassingen met alle gevolgen van dien. - **Privacy- en Beveiligingsrisico's.** AI-systemen verwerken grote hoeveelheden gevoelige informatie. Het is van cruciaal belang om robuuste beveiligingsmaatregelen te implementeren om datalekken en inbreuken te voorkomen. Het waarborgen van de privacy van klanten en het naleven van wet- en regelgeving zijn essentieel. - **Onvoorspelbaarheid van AI-Modellen.** Sommige AI-modellen, met name diepe neurale netwerken, kunnen als black boxes worden beschouwd, wat betekent dat het moeilijk is om te begrijpen hoe ze tot specifieke beslissingen komen. Het gebrek aan transparantie kan leiden tot vertrouwensproblemen bij gebruikers en stakeholders. - **Kosten en Onderhoud.** Het opzetten en onderhouden van AI-systemen kan kostbaar zijn. Als bedrijf moet je niet alleen investeren in de initiële ontwikkeling, maar ook in voortdurend onderhoud, updates en aanpassingen aan veranderende bedrijfsbehoeften. Om de valkuilen van AI effectief te vermijden, is het van groot belang dat bedrijven een strategische aanpak hanteren, ethische richtlijnen volgen en blijven investeren in de ontwikkeling van hun personeel en technologische infrastructuur en de continue focus op de [datakwaliteit](https://ddcgroup.com/data-management). Alleen dan kan je de vruchten plukken van de vele voordelen die AI te bieden heeft.
    Lees meer