Op 10 oktober organiseert Infinity IT samen met haar partners Arctic Wolf en SALT  Security een ronde tafel voor financiële bestuurders. In voorbereiding op dit evenement spraken we met spreker Hugo van Aardenne, advocaat advocaat corporate crime, cybersecurity & investigations. Onderstaand de samenvatting van dat gesprek. Meer weten? Meld je dan aan voor de ronde tafel op 10 oktober aanstaande via deze website.

DORA en NIS2 lijken ver weg, maar vragen vandaag al je aandacht

Organisaties die gewend zijn om veiligheid in te bouwen, zoals chemie, voedsel en de gezondheidszorg, komen inmiddels in beweging wat betreft Network en Information Security (NIS2). Deze regelgeving is gericht op de verbetering van digitale en economische weerbaarheid binnen Europese Deelstaten. Waar de NIS2 ophoudt, gaat de Digital Operational Resilience ACT (DORA) verder. Deze laatste is van belang voor financiële organisaties. Zoek je handvatten om de weerbaarheid van jouw organisatie te verbeteren, dan biedt DORA deze. Valt jouw organisatie zowel onder NIS2 als onder DORA, dan is de laatste leidend, omdat deze gedetailleerder is. Beiden raken veelal dezelfde onderwerpen zoals risicobeheersing en governance. De NIS2 zal in oktober 2024 inwerkingtreden en de DORA per januari 2025. De Autoriteit Financiële Markten (AFM) en de Nederlandsche Bank (DNB) zullen beide toezicht gaan houden op de uitvoering van de DORA. DNB is op dit moment de toezichthouder voor een aantal sectoren onder de NIS1. Wie de toezicht gaat houden op NIS2 is nog niet bekend, daardoor laten in sommige sectoren de budgetten ook nog op zich wachten. Niet geheel vreemd dat organisaties de activiteiten rondom DORA en NIS2 dan ook nog even liggen tot het wat duidelijker is. Dit uitstel levert de nodige risico’s op, want ga jij nu een langdurige dienstverlening aan die ook in 2025 van kracht is? Dan moet je daar weldegelijk over nadenken.

Een compliance structuur opzetten voor cyber security is goed voor de continuïteit van bedrijven

De komst van DORA (Verordening) en NIS2 (Richtlijn) wordt gezien als een goede ontwikkeling voor de continuïteit van bedrijven. Deze schrijven voor dat je alles wat van waarde is voor organisaties, zoals financiën, systemen en intellectueel eigendom, aantoonbaar moet beschermen. Zoals bij andere wetgeving, zijn er ook hierbij boeteprocedures van kracht. Desondanks wordt de komst van deze wetgeving als een positief signaal gezien voor het investeringsklimaat doordat ze zullen bijdragen aan de digitale weerbaarheid van de Europese vitale sectoren. Door nu al aan de slag te gaan met DORA en NIS2, kunnen organisaties een concurrentievoordeel pakken. Want NIS2 en DORA-proof worden gaat niet binnen een week. Dus hoe eerder een bedrijf de digitale compliance op orde heeft hoe weerbaarder de organisatie wordt, niet alleen tegenover de cybercriminelen maar ook tegenover toezichthouders.

Aanbestedingen en langdurige contracten voor 2025 worden nu gesloten

Januari 2025 lijkt misschien nog ver weg, toch zijn er nu al salesteams bezig met bijvoorbeeld aanbestedingen die in die periode lopen. Of worden dienstverleningen ingekocht voor meerdere jaren. Dan is het goed om te weten wat de impact is van deze nieuwe wet- en regelgeving voor jouw organisatie en je dienst vanaf dat moment. Wat betekenen de nieuwe regels voor jouw technische omgeving? Hoe ga je om met incidenten met je klant, leverancier of een toezichthouder? Dat kan je nu al formaliseren om in 2025 compliant te zijn.

Val je onder de DORA als organisatie dan wordt er van je verlangd dat je bij het aangaan van de overeenkomst al nagaat hoe jouw vitale processen afhankelijk zijn van de dienstverlening die je aangaat. Kortom, hoe gemakkelijk is het straks om afscheid te nemen een ICT-dienstverlener. In de overeenkomsten tussen de financiële organisaties en ICT-dienstverleners moet bijvoorbeeld verplicht ook aandacht worden besteed aan exitstrategieën. En dan met name een verplichte passende overgangsperiode. Zodat – eenvoudig gezegd – de levering van functies of diensten tijdens een overgangsperiode zal worden voortgezet zodat het risico van verstoring van de financiële entiteit wordt beperkt gedurende de overgangsperiode. Dit is slechts een voorbeeld van de gedetailleerde(re) regelgeving in de DORA.

Een duidelijk voorbeeld onder de DORA dat tot de verbeelding spreekt is bijvoorbeeld een incident bij een pensioenverzekering. Een pensioensverzekering kan een incident ondervinden en data kwijtraken, door bijvoorbeeld een gefaalde back up. Hoe snel kunnen zij het proces herstellen om pensioenen uit te keren? Hoe groot is het dataverlies? Grote organisaties hebben vaak al een aantal oplossingen getroffen. Maar hoe zorgen ze dat er aantoonbare control is? En hoe borgen de minder kapitaalkrachtige pensioenorganisaties deze verplichtingen?

Grijp niet mis als het om cyber security gaat

De cyber security markt is echt enorm groot en daarmee een zorgpunt. Cyber security bedrijven hebben nu nog wel ruimte om jou als klant te ontvangen. Echter de ‘attack surface’ blijft groeien en de hoge druk op cyber crime specialisme is een grote dissatisfier in de markt. Het is een tijdskwestie totdat ook zij de mensen en capaciteit niet hebben om jouw organisatie te onboarden. Valt jouw organisatie onder NIS2 of DORA dan sta je voor een dilemma. Je moet voldoen en dan grijp je misschien mis, krijg je een bandje of sta je achteraan. Dat kan je eenvoudig voor zijn door nu al te handelen en niet af te wachten op de toezichthouders.

Hugo van Aardenne
Advocaat bij Ploum

Bereid je voor op januari 2025

Wil jij klaar zijn om in januari 2025 de autoriteiten te ontvangen en wil je meer weten over security en compliance? Hugo vertelt je onder andere wat te doen met sales en marketing, aanbestedingen en langlopende contracten tijdens de ronde tafel DORA en NIS2 voor financiële bestuurders op 10 oktober aanstaande. aanmelden kan kosteloos via deze website, let op het aantal plaatsen is beperkt.