Door op ‘Alle cookies accepteren’ te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en te helpen bij onze marketinginspanningen. Bekijk ons privacyverklaring voor meer informatie.
VoorkeurenNeeAccepteer
Met ISO 27001 al goed op weg.
November 27, 2024
LEES TIJD:
5
MINUTen

DORA loves ISO 27001

Klik hier om direct naar onze DORA Quickscan te gaan.
U ontvangt een overzichtelijk rapport, geheel vrijblijvend.

Je organisatie is ISO 27001-gecertificeerd. Je hebt sterke processen om informatieveiligheid te waarborgen, een mooi team dat risicoanalyses uitvoert, en een soepel werkend en getest incidentresponsplan. Het gaat goed. En dan komt DORA om de hoek kijken—de Digital Operational Resilience Act—een gloednieuwe speler op het regelgevende toneel met een specifieke missie: het financieel systeem digitaal veerkrachtig maken. In eerste instantie lijkt het misschien alsof er nóg een set regels bij komt, maar hier is de twist: DORA en ISO 27001 lijken meer op elkaar dan je denkt. Ze delen veel kenmerken, maar hebben ook hun eigen specifieke eisen. Laten we kijken naar de overeenkomsten en verschillen.

ISO 27001 bestaat al decennia en heeft de manier veranderd waarop organisaties informatieveiligheid aanpakken. De oorsprong gaat terug naar de jaren ‘90, toen de Britse standaard BS 7799 voor het eerst het concept introduceerde van een systematische aanpak van beveiligingsbeheer. Door de jaren heen groeide het uit tot een wereldwijde en gouden standaard voor informatiebeveiliging. DORA, daarentegen, is de nieuwkomer, voortgekomen uit de behoefte van de EU om de digitale ruggengraat van financiële diensten te versterken. Met steeds geavanceerdere cyberdreigingen en toenemende systeemrisico’s was er specifieke wetgeving nodig voor de unieke uitdagingen van de oh zo belangrijke financiële sector.

Het goede nieuws? ISO 27001 vormt de basis voor veel van de eisen van DORA. Beide frameworks zijn geënt op risicomanagement en erkennen dat het begrijpen en mitigeren van risico’s de kern vormt van veerkracht. Als je organisatie al ISO 27001 heeft geïmplementeerd, heb je waarschijnlijk processen ingeregeld om dreigingen te identificeren, kwetsbaarheden te beoordelen en controles uit te voeren. Dat is al een hele grote vink voor DORA.

Dan is er incidentrespons—een gedeeld speerpunt. ISO 27001 zorgt ervoor dat je procedures voor incidentafhandeling gedocumenteerd zijn, regelmatig oefeningen uitvoert en leert van eerdere incidenten om continu te verbeteren. DORA gaat hierin nog een stap verder en eist stresstests voor ICT-systemen om te zien hoe ze standhouden onder gerichte gesimuleerde aanvallen of operationele verstoringen. Het is een beetje zoals de methodische aanpak van ISO 27001, maar dan met extra druktests voor die momenten waarop alles fout dreigt te gaan.

En wat dacht je van Third-party risks? Zowel ISO 27001 als DORA begrijpen dat geen enkele organisatie op zichzelf staat. Ze benadrukken het belang van het beheersen van leveranciersrisico’s om te voorkomen dat kritieke partners zwakke schakels worden. Maar terwijl ISO 27001 brede richtlijnen biedt over leveranciersrelaties, zoomt DORA in op “kritieke derde partijen,” zoals bijvoorbeeld Cloud leveranciers. Toezichthouders willen zelfs directe controle, wat een extra laag verantwoordelijkheid toevoegt.

Toch is DORA niet zomaar een versie van ISO 27001 in een nieuw jasje. Het heeft zijn eigen unieke eisen, specifiek gericht op financiële instellingen. Een opvallend verschil is het verplichte rapporteren aan toezichthouders. Waar ISO 27001 zich richt op interne processen en continue verbetering, eist DORA gedetailleerde incidentrapportages aan externe autoriteiten. Het is alsof je na elk incident een uitgebreide wedstrijdanalyse moet maken, compleet met commentaar.

DORA legt ook extra nadruk op governance (bestuur) en betrekt senior leiderschap actief bij het proces. Bestuurders en leidinggevenden moeten direct betrokken zijn bij de strategie voor operationele veerkracht. Dit gaat verder dan alleen het goedkeuren van beleid—het draait om het daadwerkelijk eigenaar zijn van de digitale veerkrachtstrategie van de organisatie.

ISO 27001 biedt een sterke basis waarmee je al een groot deel van de eisen van DORA kunt afdekken. Als je organisatie ISO-gecertificeerd is, heb je de belangrijkste processen en tools vaak al op orde. Om volledig aan DORA te voldoen, is het een kwestie van het toevoegen van specifieke onderdelen, zoals het uitvoeren van stresstests op ICT-systemen, het opzetten van gestructureerde rapportageprocessen en het aanscherpen van het toezicht op kritieke leveranciers. Met die aanpassingen ben je goed voorbereid om aan de aanvullende eisen van DORA te voldoen.

Voor alle inspanningen is de beloning aanzienlijk. ISO 27001 geeft je wereldwijde geloofwaardigheid, terwijl DORA ervoor zorgt dat je voorbereid bent op de digitale toekomst van de financiële sector. Samen helpen ze je niet alleen om aan de regelgeving te voldoen, maar maken ze je organisatie echt veerkrachtig, klaar om zowel cyberstormen als operationele verstoringen te doorstaan.

Nieuwsgierig naar waar de gaps binnen je organisatie zitten? Doe onze online DORA Quickscan en je ontvangt binnen 24 uur een uitgebreid rapport met daarin overzichtelijk de gebieden waarbinnen er nog werk te verzetten is. Zonder verplichtingen. Wilt u meer weten over deze of een van onze andere maatwerk diensten neem dan contact met ons op via info@deepbluesecurity.nl of bel ons op 070 800 2025

ENGLISH VERSION
Back to Resources

Klaar om te beginnen?

Als het om cyber security gaat, zijn wij uw beste keuze

Contact