5 vragen over Dora

De Europese Verordening Digital Operational Resilience Act (Dora) is begin dit jaar in werking getreden. Dora bevat uniforme eisen voor de beveiliging van netwerk- en informatiesystemen. Verzekeraars hebben twee jaar de tijd om zich voor te bereiden, maar achteroverleunen is geen handig advies, aldus Anne-Mieke Dumoulin-Siemens van Ekelmans Advocaten.

1. Wat komt er met Dora op verzekeraars en andere financiële dienstverleners af?

“Dora is een Europese Verordening. Dat is een van de meest strikte vormen van regelgeving die van toepassing is op alle EU-landen. Er is met andere woorden weinig tot geen ruimte voor eigen interpretatie. De lidstaten moeten Dora dus één op één overnemen. De verordening is op 16 januari 2023 ingegaan en op 17 januari 2025 moeten verzekeraars aan de eisen voldoen. De tijd zal leren of die transitieperiode lang genoeg is, maar dat ligt er uiteraard ook aan wanneer verzekeraars eraan beginnen en hoeveel ze moeten veranderen.”

2. Verandert er veel voor Nederlandse verzekeraars?

“Dat durf ik nog niet met zekerheid te zeggen. Landen hanteren nu hun eigen regels, waardoor de ene lidstaat (cyber)veiliger is dan de andere. Dora is vooral bedoeld om uniforme eisen te stellen, zodat iedereen aan dezelfde eisen moet voldoen en er geen zwakke schakel meer is. Maar de kaders moeten nog nader worden ingevuld. Zo gaan de Europese toezichtautoriteiten dit jaar nog reguleringsnormen (regulatory technical standards, zie kader) opstellen die de algemene regels nader moeten inkleuren. Hoe moet een verzekeraar zijn beveiliging op orde brengen? Hoe staat het met de regels voor toegangsbeheer? Hoe ziet de bedrijfscontinuïteit eruit als een verzekeraar wordt gehackt? Over dat soort vragen moet begin 2024 duidelijkheid komen. Een van de belangrijkste punten van Dora vind ik dat het bestuur van een verzekeraar verantwoordelijk wordt gesteld voor een goed beheer van het ICT-risico. Dat betekent dat het bestuur van de hoed en de rand moet weten, maar ook een passend budget moet vrijmaken voor cyberveiligheid. Zulke regels zijn nodig.”

Reguleringsnormen
De Europese toezichthouders ontwikkelen reguleringsnormen voor onder meer:
- ICT-beveiliging (toegangsbeheer, detectie van afwijkende activiteiten, bedrijfscontinuïteitsbeleid, herstelplannen);
- inhoud van contracten met (kritieke) aanbieders van ICT-diensten;
- criteria voor ernstige ICT-gerelateerde incidenten;
- rapportage van die ernstige ICT-gerelateerde incidenten;
- weerbaarheidstesten;
- het model voor het informatieregister met daarin informatie over het gebruik van ICT-diensten.

3. Waarom? Zijn bestuursleden zich nu onvoldoende bewust van cyberdreiging en risico's?

“Bewustwording is hard nodig. Ik heb onlangs een betoog over Dora gehouden voor een internationaal gezelschap in Londen. Ik ben dat verhaal begonnen met de dreigingen die er op dit moment zijn. Vergis je niet, als je ziet hoeveel schade cyberincidenten berokkenen, dan schrik je je kapot. Dat loopt wereldwijd echt in de miljarden en dan heb ik het nog niet eens over de bedrijfsschade, omdat het bedrijf dagen of weken platligt. Reken maar eens uit wat het kost als een verzekeraar een compleet nieuw ICT-systeem moet bouwen, omdat het oude na een hack niet meer kan worden hersteld. Ieder bedrijf moet zijn eigen systemen op orde hebben. Dora is niets meer of minder dan een logische reactie op alle dreigingen die er zijn. In die zin is het ook logisch dat verzekeraars in die nieuwe regelgeving verantwoordelijk worden voor hun aanbieders van ICT-diensten. Veel verzekeraars maken gebruik van zulke aanbieders en moeten dus straks in contracten duidelijke afspraken maken zodat die aanbieders aan dezelfde eisen voldoen.”

"De schade loopt wereldwijd in de miljarden"

4. Even wachten met welke eisen de Europese Toezichtautoriteiten dit jaar komen, is zeker geen goed idee?

“Dat zou ik niet aanraden, maar die keuze is aan het bedrijf. Het ligt er ook maar helemaal aan wat de kwaliteit van je systemen nu is en wat voor soort onderneming je bent. Als je een kleine verzekeraar bent, met een laag risicoprofiel, dan liggen de eisen ook lager. Niet zo gek natuurlijk, want bij een grote maatschappij is de kans op schade ook hoger. Verzekeraars zijn al veel langer gewend om aan bestaande richtlijnen en IT-risk management normen te voldoen. Ik zou zeggen dat je moet zorgen dat de ICT-huishouding in ieder geval aan de huidige regels voldoet, zodat je straks zo min mogelijk werk hebt.”

5. Wat raad jij verzekeraars aan?

“Begin met een analyse van het risico- en het bedrijfsprofiel. Waar staan we nu? Wat hebben we aan ict-systemen? Hoe weerbaar zijn we op dit moment? Met een zogenoemde GAP-analyse kun je je sterktes en je zwakten nu alvast achterhalen. Want ook al kunnen we nog niet zeggen wat er precies aan normering komt, ligt het er natuurlijk wel aan hoe je zelf in de wedstrijd zit. Als een verzekeraar een half jaar geleden nog een sterkte-zwakte analyse heeft gedaan, met een positieve uitkomst, is dat totaal anders dan wanneer deze een sterk verouderd systeem heeft dat met plakband aan elkaar zit. Op basis van de huidige regels moeten verzekeraars nu natuurlijk ook al voldoen aan een bepaald veiligheidskader. Laat ik het zo stellen. Die hackers wachten nooit af, die maken gebruik van de gaten die bedrijven zelf laten vallen.”

"Hackers wachten nooit af. Zij maken gebruik van de gaten die bedrijven laten vallen"