Door DORA volwassen in digitale weer­baarheid

DORA staat voor Digital Operational Resilience Act. Deze Europese verordening verplicht alle Europese financiële instellingen om hun weerbaarheid tegen cyberdreigingen te versterken. Dat gaat erom hoe goed we voorbereid zijn op problemen met onze IT-systemen en hoe snel we weer op de been zijn na een verstoring. Voor ons en onze klanten betekent dit:

• Klaar zijn voor problemen: We zorgen ervoor dat we voorbereid zijn op mogelijke problemen met onze computersystemen, zoals storingen of aanvallen van hackers.
• Snel herstellen: Als er iets misgaat, zorgen we ervoor dat we snel weer normaal kunnen functioneren, zodat de dienstverlening aan onze klanten niet wordt verstoord.
• Veilig blijven: We nemen maatregelen om ervoor te zorgen dat uw gegevens en onze systemen veilig zijn tegen cyberdreigingen en technische problemen.

Op 16 januari 2023 is de DORA-wetgeving gepubliceerd en formeel in werking getreden voor financiële instellingen, dus ook voor onze klanten. Naast de publicatie in 2023, zijn er aanvullende bepalingen gepubliceerd op 17 januari en 17 juli 2024. Als pensioenuitvoeringsorganisatie moeten wij ervoor zorgen dat onze klanten sinds 17 januari 2025 voldoen aan de eisen voor opzet en bestaan. Vanaf dat moment moeten we aantoonbaar volgens de nieuwe wetgeving werken om onze klanten compliant te houden.

Onder leiding van Yvonne Ypey-Telleman, projectleider DORA, ging zo’n jaar geleden de werkgroep DORA van start. Met een gap-analyse werd in kaart gebracht wat er nodig was om aan de DORA-wetgeving – verdeeld in 5 pijlers (zie kader) – te voldoen. Daaruit bleek dat TKP al aan veel vereisten van de DORA-wetgeving voldeed. De onderdelen waarop aanpassingen nodig waren, werden verdeeld onder afdelingen. Zo pakte Renze Behling (teammanager ICT service support) met zijn collega’s incidentmanagement op, Hans Wilthof (business continuity manager) business continuity, Guido Buurlage (manager contracts & outsouring) en zijn team de uitbestedingsketen en René Huizenga (chief information security officer) met zijn team cyberweerbaarheid. Lees wat ze op elk van deze gebieden bereikten.

Bij incidentmanagement voldeden onze processen op veel punten al aan de eisen voor inrichting en rapportage. Wel heeft DORA gezorgd voor een verbeterslag. We moeten immers heel gedetailleerd rapporteren (pijler 2). Deze verbeterslag hebben we tegelijk opgepakt met de implementatie van een nieuwe servicemanagementtool, die het rapporteren vergemakkelijkt. Met de komst van de wetgeving kenden we ineens 3 soorten processen: voor ICT-incidenten, voor operationele incidenten met klantimpact en de vereisten vanuit DORA. DORA was voor ons een goede aanleiding om deze processen terug te brengen naar 1 gedegen proces.

Renze: ‘Samen met de incidentmanager van Operations hebben we naar de gemeenschappelijke componenten in de processen gezocht. Daaruit kwam naar voren dat het proces voor de diverse soorten incidenten vrijwel generiek is: iets werkt niet, dat moet worden opgelost en je moet erover communiceren. De enige variatie zit ’m in de personen die iets moeten doen. Zo zijn we gekomen tot 1 nieuw proces met hetzelfde stappenplan en dezelfde tijdslijnen voor elk incident. Voor klanten betekent dit proces en de nieuwe tooling een verbetering. Ze worden beter geïnformeerd én het incident wordt sneller opgelost.’

Ook onze contracten met ICT-leveranciers moeten voldoen aan de DORA-wetgeving (pijler 4). Hiermee komen derde partijen beter in beeld en worden ze gemonitord. Dit geldt voor kritieke of belangrijke uitbestedingspartners zoals Visma Idella, Keylane en Vesting Finance, die van grote invloed zijn op de continuïteit van onze dienstverlening. Dit geldt ook voor niet-materiële uitbestedingen die minder van invloed zijn op onze bedrijfscontinuïteit.

Inmiddels voldoen alle contracten met kritieke of belangrijke ICT-leveranciers waarvan de applicatie live is, aan de DORA-wetgeving. En we werken eraan om de contracten van niet-materiële uitbestedingen uiterlijk 30 juni DORA-proof te hebben. Ook hebben we een informatieregister voor onze klanten opgezet met daarin alle uitbestedingen: alle kritieke en belangrijke uitbestedingen – én de onderuitbestedingen die daar onder vallen – en de niet-materiële uitbestedingen. Met deze informatie kunnen klanten hun eigen informatieregister aanvullen en kunnen zij bij DNB aantonen dat ze aan de wetgeving voldoen. Verder hebben we ons beleid geüpdatet aan de hand van DORA.

Guido: ‘Het risicomanagement op derde partijen moet voldoen aan DORA. We volgden al de richtlijnen van de Good Practice Uitbesteding van DNB. Met DORA is dit nu wettelijk vastgelegd en verder uitgebreid. We hebben tegelijkertijd een verdere professionaliseringsslag gemaakt. Dit maakt het voor klanten eenvoudiger om hun risico-assessment op derde partijen uit te voeren.’ De komende periode werken we nog aan het verder DORA-proof maken van de exitstrategie en -plannen voor kritieke of belangrijke uitbestedingen. Dat blijft een continu proces. 

Een aantal jaren geleden hebben we diverse onderdelen van business continuity geïmplementeerd, waaronder het beleid, het plan en de jaarlijkse uitwijktest van ons datacenter. In september 2024 hebben we een start gemaakt met het opzetten van een business continuity (BC)-raamwerk volgens de standaard voor de implementatie van business continuity: ISO 22301. Met de DORA-wetgeving hebben we hierop een professionaliseringsslag gemaakt.

Op basis van de ISO-richtlijnen voor business continuity management en de DORA-vereisten maken we een stabiel raamwerk dat we onderhouden en periodiek (minstens 1 keer per jaar) testen. Ook dit is een continu proces: aan de hand van de testuitkomsten voeren we verbeteringen door. En zo professionaliseren we het complete business continuity managementsysteem (BCMS). De basis van het BCMS staat: we hebben onder meer crisismanagementplannen en BCM-beleid waarmee we voldoen aan DORA (pijler 1). Nu werken we nog aan kritische procesbeschrijvingen, een crisisaanpak en herstelplannen en aan het uitwerken van een aantal crisisscenario’s. Zo krijgt BCMS steeds meer structuur.

Hans: ‘Dit kwartaal beginnen we met het uitwerken van draaiboeken voor 7 realistische crisisscenario’s binnen het raamwerk. Daaruit volgen korte en bondige draaiboeken met wat er per scenario moet gebeuren. Die werken we uit in crisiskaarten die op verschillende plekken in de organisatie zichtbaar zijn.’ Met het geprofessionaliseerde crisismanagement en business continuity zijn we nog beter voorbereid op grote crises. Later dit kwartaal vindt een toetsing plaats met een grote datacenter-uitwijktest.  

We deden al veel op het gebied van digitale operationele weerbaarheid, maar met DORA is de lat nog wat hoger gelegd. Zo brengen we nu periodiek het dreigingsbeeld in kaart: wat is de grootste dreiging en op welke termijn? Daarbij maken we onder andere gebruik van het One Financial Threat Landscape, dat gemaakt wordt voor de grootbanken. Bij ons staat als grootste dreiging ransomware bovenaan: de dreiging dat een criminele organisatie of statelijke actor onze gegevens versleutelt en losgeld voor de gegevens vraagt.

Het dreigingsbeeld is overigens niet statisch, want de cyberwereld is continu in beweging. We rapporteren 2 keer per jaar over het dreigingsbeeld. Daarvoor moeten we op de hoogte zijn van wat er gebeurt en daarover actief informatie ophalen. Dat doen en deden we al via bijvoorbeeld het Pensions Information Sharing and Analysis Center (P-ISAC), een samenwerkingsverband waarin puo’s en zelfadministrerende fondsen kennis, informatie en ervaringen over cybersecurity met elkaar delen (pijler 5).

We hebben een teststrategie voor operationele weerbaarheid opgesteld (pijler 3) en brengen het volwassenheidsniveau van de organisatie omhoog voor het omgaan met daadwerkelijke dreigingen. Zo voeren we al langere tijd pentesten – onderzoeken naar kwetsbaarheden in onze systemen – uit en laten we onszelf hacken met een dreigingsgestuurde penetratietest door ethische hackers. Deze blijven we periodiek uitvoeren. Daarnaast delen we meer informatie met onze klanten. We deelden al informatie over audits. Maar nu delen we ook onze strategie voor onze digitale operationele weerbaarheid én periodiek dus het dreigingsbeeld.

De afgelopen periode werkten we hard aan beleidsstukken en een strategiedocument en deelden deze met directie en klanten. Ook kijken we of de security van uitbestedingen beheerst gaat en beoordelen we de assurance (pijler 1). Bovenop deze assurance doen we site visits: we gaan op bezoek bij leveranciers om te zien hoe ze hun processen geregeld hebben. René: ‘Het zat al goed met onze digitale operationele weerbaarheid, maar DORA heeft nog meer bewustwording aangewakkerd. Een aanvaller heeft maar één zwakke plek nodig. Iedereen kan die zwakke plek zijn. Die bewustwording is de sleutel. Digitale weerbaarheid leeft al bij onze directie. En onlangs hebben we hier in aandacht voor gevraagd aan de hand van het dreigingsbeeld en het daaruit voortvloeiende testplan voor digitale operationele weerbaarheid.

Digitale weerbaarheid gaat verder dan alleen het toepassen van de DORA-wetgeving. En het beslaat meer dan de onderwerpen die we in dit artikel hebben besproken. Digitale weerbaarheid is onmisbaar voor een goede dienstverlening aan onze klanten. En het is iets waar we niet alleen met ICT, maar samen met onze hele organisatie iedere dag aan werken.