Voice-over: Dit is Leaders in Finance, een podcast waarin we op zoek gaan naar de mens achter het succes. We praten met leiders van nu en later over hun drijfveren, carrière en privéleven. Waarom? Omdat er meer gesproken moet worden in de financiële sector. We willen onze partners hartelijk bedanken voor hun steun. Dat zijn Kayak, EY, Medirect, Zanders en Roland Berger. Je host is Jeroen Broekema.
Jeroen: Welkom bij een extra aflevering van Leaders in Finance. Hartstikke leuk dat je luistert. Vandaag gaan we het hebben over DORA, de Digital Operational Resilience Act. En ik heb het genoegen om tegenover mij Rabab Laarabi te hebben. Zij is manager cybersecurity bij EY.
Rabab: Ja, dankjewel voor de uitnodiging.
Jeroen: Leuk dat je er bent. Klopt de titel die ik heb opgeschreven bij wat jij doet?
Rabab: Zeker, ja, het klopt helemaal.
Jeroen: Wat doet een manager cybersecurity bij EY?
Rabab: Best veel. Ik werk nu denk ik al zeven jaar bij EY. Ik heb echt heel veel projecten mogen doen, vooral op het gebied van cyber transformatie. Dus ik help vooral grotere organisaties en financiële instellingen om volwassener te worden op het gebied van cyber security en informatiebeveiliging. Ik kijk waar hun gaps en risico’s liggen en wat we samen kunnen doen om hen naar een hoger niveau te tillen.
Jeroen: Ben je altijd met de financiële sector bezig, of werk je breder?
Rabab: Voornamelijk binnen de financiële sector. Af en toe zijn er uitzonderingen, maar meestal werk ik met financiële instellingen.
Jeroen: We gaan het vandaag over DORA hebben, maar ik vind het altijd leuk om eerst iets meer te weten over degene met wie ik aan tafel zit. Wat is je studieachtergrond?
Rabab: Ik ben begonnen met een bachelor in International Business Administration (IBA) aan de Erasmus Universiteit in Rotterdam. Prachtige stad. Jij woont er toch?
Jeroen: Ik woon er inderdaad.
Rabab: Daarna heb ik mijn master gedaan in Business Information Management. Veel consultants bij EY hebben die opleiding ook gevolgd, wat wel grappig is. Na mijn master ben ik direct bij EY begonnen.
Jeroen: Hoe ben je als consultant op het pad van DORA gekomen?
Rabab: Dat was niet helemaal toeval. Binnen EY richt ik me voornamelijk op strategie, risk en compliance binnen cybersecurity. Je hebt natuurlijk de techneuten, de pentesters en ethical hackers. Dan heb je cybersecurityconsultants die zich meer richten op cybertransformatie, identity and access management, data privacy en AI. Ik focus me echt op strategie, risk en compliance, en daar valt ook resilience onder.
Toen DORA twee jaar geleden in draft werd gepubliceerd, hebben mijn afdelingspartner, een collega genaamd Rudrani en ik er meteen naar gekeken. We dachten: hier moeten we nu al mee aan de slag. Hoe kunnen we financiële instellingen zover krijgen om zich hierop voor te bereiden? Want voordat je het weet, is de tijd om en moet het geïmplementeerd zijn. Het kwam dus vanuit mijn expertise binnen EY op mijn bordje terecht.
Jeroen: Meteen verliefd geworden op DORA? Vond je het meteen prachtig, of had je er veel kritische kanttekeningen bij? We gaan het zo hebben over wat het precies is, maar vertel eerst nog even hoe je hier terecht bent gekomen.
Rabab: Precies. Nee, ik vond het echt een heel interessant onderwerp. Ja, ik vind resilience—of weerbaarheid—binnen de wereld van cybersecurity altijd een boeiend thema. Toen ik DORA voor het eerst doorlas, een maand voor de start, vond ik het interessant dat het verschillende thema’s bevat. Een stukje risicobeheer, incidentenbeheer, resilience-testen, het technische aspect zit erin, en ook het beheer van de keten en derde partijen. Dat waren op dat moment allemaal elementen waar ik hier en daar mee bezig was geweest, maar altijd in isolatie. Nu kwam het allemaal samen, en dat vond ik heel interessant. Ik was dan ook echt enthousiast om ermee aan de slag te gaan en klanten daarbij te helpen.
Jeroen: Even terug naar de basis van DORA. Ik noemde al waar de afkorting voor staat: de Digital Operational Resilience Act. Kun jij in de basis uitleggen waar het over gaat?
Rabab: Zeker. DORA is een wetgevend kader vanuit de Europese Unie om de financiële sector te helpen de digitale operationele weerbaarheid te versterken. Het doel is om een gezamenlijke baseline te creëren binnen de EU, zodat financiële instellingen effectief kunnen reageren op en herstellen van ICT-gerelateerde verstoringen en dreigingen.
Jeroen: En waarom specifiek gericht op financiële instellingen? Ik snap dat die een kritieke functie vervullen, maar er zijn natuurlijk veel meer sectoren.
Rabab: Klopt. Er zijn een aantal factoren. De financiële sector is van groot belang voor de stabiliteit en integriteit van het economische systeem in de EU. Mocht er iets gebeuren, dan kan dat een grootschalige impact hebben. Daarnaast maakt de financiële sector intensief gebruik van IT en wordt er veel uitbesteed. Hoe meer IT-oplossingen je gebruikt, hoe groter de IT-risico’s. Hoe meer je uitbesteedt, hoe beter je grip moet hebben op je keten en leveranciers. De Europese toezichthouders hebben daarom gedacht: we moeten iets creëren om de financiële sector te helpen het volwassenheidsniveau op dit gebied te versterken. Binnen de EU zijn er bovendien verschillen in wet- en regelgeving op nationaal niveau. Sommige landen hebben striktere regels voor ICT-risicobeheer en cybersecurity dan andere. Het doel van de ESA’s was daarom om…
Jeroen: De ESA’s, kun je dat toelichten?
Rabab: Ja, de ESA’s zijn de Europese toezichthouders: de EBA, EIOPA en ESMA. Zij hebben samen de wetgeving opgesteld. Hun doel was om een geharmoniseerde aanpak te realiseren voor digitale operationele weerbaarheid, zodat de financiële sector in de hele EU naar een hoger niveau wordt getild.
Jeroen: Wie weet komt er ooit nog een DORA voor de energiesector, de havensector, of de telecomsector. Ook niet onbelangrijke sectoren. Misschien is dit wel het begin.
Rabab: Klopt. We zien dat NIS2 er natuurlijk ook aankomt.
Jeroen: Ja, dat is interessant. Ik onderbreek je even. NIS2, de Network and Information Systems Directive, is dat eigenlijk al een soort DORA, of zeg ik nu iets geks?
Rabab: Nou, er zit verschil in, maar ook zeker overlap. NIS2 is een Europese richtlijn om de cyberweerbaarheid van kritieke infrastructuren en essentiële diensten te versterken. In tegenstelling tot DORA, die alleen voor financiële instellingen geldt, is NIS2 van toepassing op een bredere groep organisaties.
Er zijn inhoudelijke overeenkomsten, bijvoorbeeld op het gebied van cyberincidentenbeheer en governance & risk management. Maar er is ook een belangrijk verschil: DORA is een verordening, wat betekent dat het direct als wet geldt in alle EU-lidstaten. NIS2 is een richtlijn en moet eerst door de nationale overheden worden omgezet in wetgeving. Daardoor kunnen er tussen EU-landen verschillen ontstaan in de implementatie. Binnen Nederland is de NIS2-richtlijn bijvoorbeeld nog niet in een definitieve versie beschikbaar, dus het is nog even afwachten hoe dat er precies uit gaat zien.
Jeroen: We spreken op een interessant moment. Het is nu eind januari. Waarschijnlijk luisteren de meeste mensen hiernaar in februari. Maar goed, heel kort geleden, op 17 januari 2025 als ik het goed heb, is DORA echt van kracht geworden. Wat betekent het praktisch dat die datum nu gepasseerd is?
Rabab: Klopt, dat was twee weken geleden. Een spannende datum voor de meeste organisaties om hun implementatie af te ronden. Wat je ziet, is dat we vanuit EY de afgelopen twee jaar hard hebben gewerkt met allerlei financiële instellingen om de gaps te identificeren en een roadmap op te stellen voor de implementatie. We keken echt uit naar 17 januari om dan klaar te zijn. Maar zijn we allemaal klaar op dit moment? Zijn alle financiële organisaties ook echt compliant? Nou ja, waarschijnlijk niet helemaal. We kunnen niet zeggen dat iedereen 100% compliant is of alle vereisten heeft geïmplementeerd. Het is vooral belangrijk om nu te beseffen dat 17 januari niet het eindstation is. Wat moeten we de komende maanden of het komende jaar nog doen om volledige compliance te realiseren? Maar ook: hoe kunnen we onze processen verder optimaliseren of automatiseren waar nodig? Het gaat niet alleen om een compliance-check. DORA moet je niet zien als een checklist, maar echt als een tool om je weerbaarheid te versterken en je positie in de markt te verbeteren.
Jeroen: Ik kom straks nog terug op de effectiviteit ervan. Werkt het echt, of is het meer een compliance-checklist? Jij hebt al aangegeven dat je vindt dat het dat niet is, dus daar moeten we het straks over hebben. Maar eerst nog even over wat jij eerder zei: een paar jaar geleden besloten jullie je echt in DORA te verdiepen en volop in te zetten op het ondersteunen van financiële instellingen. Zijn ze op tijd begonnen? Je zei net dat sommigen verder zijn dan anderen. Hoe kijk je daar nu naar?
Rabab: Klopt. Wat we vooral in Nederland zagen, tenminste wat ik zelf heb opgemerkt, is dat het in het begin best moeizaam ging. DORA was in draft gepubliceerd, maar veel financiële instellingen hadden een afwachtende houding. De meesten die we spraken dachten: we wachten nog even af, wat zeggen de toezichthouders hierover? Hoe gaan we dit implementeren? Komt het wel goed? Sommige organisaties dachten: als ik naar de thema’s binnen DORA kijk, dan heb ik al het een en ander op orde. Maar het was toch afwachtend. Dit verschilde natuurlijk per organisatie. De één startte op tijd, maar de meeste begonnen net iets later. Veel partijen wachtten op communicatie van de toezichthouder in Nederland en gebruikten dat als startpunt voor hun implementatie. Idealiter wil je natuurlijk direct de wetgeving erbij pakken, een gap-analyse uitvoeren en weten: waar sta ik, waar zitten mijn risico’s en gaps, en wat is de impact op mijn implementatie? Zal het lang duren, of zijn de basiselementen al aanwezig? Vanuit EY pushten we erop dat het nooit te vroeg is om te starten. Het is juist belangrijk om vooraf te weten waar je staat en wat je te wachten staat.
Jeroen: Wie vallen er allemaal onder DORA? We hebben het over financiële instellingen, maar dat is heel breed: banken, asset managers, verzekeraars, betaalinstellingen, crypto, enzovoort. Maar ik begrijp dat ook partijen buiten de financiële sector eronder vallen?
Rabab: Klopt. Alle typen financiële instellingen vallen onder DORA. Daarnaast hebben de Europese toezichthouders gezegd dat ze een oversight framework opstellen voor de critical ICT third-party providers. Dit zijn de grotere IT-partijen in de EU. Zij vallen niet onder direct toezicht zoals financiële instellingen, maar krijgen wel een vorm van toezicht. De European Supervisory Authorities (ESA’s) zullen onderzoeken wat deze partijen aan processen en beveiligingsmaatregelen hebben geïmplementeerd op het gebied van digitale weerbaarheid.Dit is belangrijk omdat deze partijen een grote impact kunnen hebben. Veel financiële instellingen besteden diensten uit aan grote IT-providers. Als zo’n partij wegvalt, er een cyberaanval plaatsvindt of een incident gebeurt, kan dat grootschalige gevolgen hebben voor de financiële sector als geheel. Daarom willen toezichthouders ook de weerbaarheid van deze partijen versterken.
Jeroen: Blijkbaar zijn die partijen zo cruciaal. Over wat voor soort bedrijven hebben we het dan?
Rabab: Denk aan de grotere cloudproviders in de EU.
Jeroen: De Amazon Web Services van deze wereld.
Rabab: Bijvoorbeeld, ja. En die lijst wordt natuurlijk nog gepubliceerd. De ESA’s gaan ook een lijst publiceren van welke critical IT third parties onder het oversight framework vallen. Die lijst is er nog niet, maar ja, waarschijnlijk kan iedereen wel een beetje gokken wie daaronder komt.
Jeroen: Maar is het logisch dat zij er ook onder vallen? Want je zou kunnen zeggen: het is gewoon aan die financiële instellingen om duidelijk te maken wat al hun suppliers zijn, en daar zitten deze dan ook onder. Ik was best verbaasd toen ik het las.
Rabab: Klopt. Kijk, aan de ene kant – en dat staat ook in DORA, in het laatste hoofdstuk – worden verschillende vereisten geïntroduceerd voor het beheer van je IT-partijen. Als financiële instelling word je eigenlijk echt gepusht om je contracten op orde te krijgen en meer zicht te krijgen in je keten. Niet alleen je derde partijen, maar ook je vierde en vijfde partijen. Waar zitten je risico’s? Uiteindelijk moet je dat ook als geheel in je register invullen.
Jeroen: Nu zeg je heel veel dingen die we echt even moeten toelichten.
Rabab: Natuurlijk.
Jeroen: Vierde en vijfde partijen, wat betekent dat?
Rabab: Ja, echte onderaannemers. Je kunt bijvoorbeeld iets uitbesteden aan een derde partij, en die derde partij kan een deel van die dienst weer verder uitbesteden aan een andere partij.
Jeroen: Dus je moet echt de hele keten kennen, net zoals bij de kleren die we nu dragen. Die komen misschien van een partij in Parijs die dat handelt, en dat gaat weer terug naar India, waar misschien 35 onderaannemers aan werken. Die hele keten moet je dus kennen, ook als financiële instelling.
Rabab: Precies. En dat is heel belangrijk, vooral als we kijken naar de afgelopen jaren. Aanvallen zoals bijvoorbeeld CrowdStrike of SolarWinds zijn echt ketenaanvallen. Dat kan zoveel impact hebben. Vaak hebben financiële instellingen wel een proces voor het beheer van hun derde partij of IT-partijen, maar dat gaat maar tot een bepaald niveau. Dus in hoeverre heb jij echt controle over je gehele keten? En in hoeverre heb je zicht op hoe jouw dienst verder is uitbesteed en waar de risico’s liggen?
Jeroen: Is het reëel om dat van een financiële instelling te verwachten?
Rabab: Ja, of het reëel is of niet, is de vraag. Maar het is wel belangrijk om te doen. We hebben het hier over digitale weerbaarheid, en die wil je versterken. Je kijkt naar de IT-risico’s en de dreigingen die op dit moment spelen. Dan wil je goed voorbereid zijn en weten wat de situatie is. Je wilt ook goede afspraken maken met je leverancier. Op het moment dat zij iets verder uitbesteden, wil je daarvan op de hoogte zijn. Maar ook: wat is de impact voor mij als organisatie als dat verder wordt uitbesteed? En wat wordt dan verder uitbesteed? Vooral kijken naar je kritische diensten: wat is voor mij kritisch en wat niet? En het risicogebaseerd aanpakken.
Jeroen: Ja, dat is wel interessant. Dus je kijkt echt, net zoals financiële instellingen dat natuurlijk altijd doen. Je gaat kijken: dit zijn kritieke dingen, daar wil ik de hele keten tot in detail begrijpen. En als er wijzigingen zijn, wil ik daarvan op de hoogte gebracht worden om te kunnen acteren. Maar bij dingen die misschien iets minder kritiek zijn, kun je zeggen: hier hoef ik niet elk detail van te weten. Ik kan me voorstellen dat je niet hoeft te weten waar, ik noem maar wat, een cloudprovider zijn muren laat schilderen.
Rabab: Nee, precies.
Jeroen: Dat is dan weer niet relevant. Een beetje een extreem voorbeeld, maar je snapt het, neem ik aan, dat dat uiteindelijk risk-based is.
Rabab: Het is echt risk-based en gebaseerd op de dienst die jij uitbesteedt, want daar wil je natuurlijk de controle over houden. Het is wel grappig dat je dat zegt. In artikel 4 van DORA wordt ook expliciet aangegeven dat je dit proportioneel moet aanpakken. Dus als je de vereisten implementeert, doe dat proportioneel—op basis van de context, de aard van de diensten of services die je aanbiedt en je eigen risicoprofiel. Dat maakt de implementatiesituatie realistisch. Je hoeft niet alles tot in detail te doen, maar voor wat kritisch is, ga je wel de diepte in.
Jeroen: En je zult het, neem ik aan, de toezichthouder een beetje kennende, ook goed moeten kunnen uitleggen waarom je iets als kritiek benoemt en iets anders niet.
Rabab: Precies, dat is echt heel goed dat je dat zegt. Wat ik vaak met organisaties bespreek, is: als je ervoor kiest om iets niet te doen, is dat prima, maar zorg ervoor dat je dat kunt uitleggen en daar een rationaal voor hebt. Dan is het vaak geen probleem. Aantoonbaarheid en de reden achter je keuzes zijn cruciaal. De toezichthouder zal waarschijnlijk niet altijd verwachten dat je alles doet, maar wel willen weten waarom je bijvoorbeeld dit wel test en dat niet. Je moet als organisatie achter je keuzes staan en vooral weten waarom je iets doet. De keuze waarom en hoe is denk ik cruciaal.
Voice-over: Dit is Leaders in Finance met Jeroen Broekema.
Jeroen: Je noemde ook even in een bijzin—ik zei, we moeten een paar dingen toelichten—de vierde en vijfde lijnen, daar hebben we het over gehad. Het register, wat is dat?
Rabab: Klopt, het register van informatie wordt benoemd in artikel 28 van DORA. In principe is dat een verzameling van alle informatie over je derde partijen, onderaannemers en kritische diensten die je uitbesteedt. Als organisatie heb je vaak al tooling waarmee je contracten van leveranciers en IT-partners opslaat. Wat DORA zegt, is dat je een stap verder moet gaan. Ze vragen per leverancier een set aan data, zoals de contractduur, startdatum, laatste auditdatum en wanneer de leverancier voor het laatst is geaudit. Je moet dus een register bijhouden van al je leveranciers en onderaannemers, welke kritische functies zijn uitbesteed aan die partijen, enzovoort. Het is eigenlijk een volledige verzameling van alle IT-partijen waaraan je diensten hebt uitbesteed.
Jeroen: En dat moet op één plek zitten. Wie gaat dat binnen die financiële instellingen doen? Is dat de compliance-afdeling, de juridische afdeling, of ligt dat ergens anders? Waar wordt dat belegd?
Rabab: Ja, dat is een goede vraag. Dat verschilt waarschijnlijk per organisatie. Vaak zien we dat de contracteigenaren bepaalde informatie bijhouden voor hun eigen contracten. Ik kan me voorstellen dat zij dan ook verantwoordelijk zijn voor het verzamelen en bijhouden van bepaalde informatie. Maar het zal wellicht ook een combinatie zijn van verschillende personen in de organisatie die het register bijhouden. Het is natuurlijk een enorm bestand dat nu wordt samengesteld.
Jeroen: Ja, is dat zo? Gaat het om tientallen, honderden, duizenden, of tienduizenden leveranciers? Waar moet ik aan denken?
Rabab: Dat hangt af van de grootte van de organisatie.
Jeroen: Laten we zeggen een middelgrote of grote bank. Waar hebben we het dan over qua aantallen?
Rabab: Het kunnen echt een paar honderd leveranciers zijn, of onder de honderd. Het hangt er echt vanaf.
Jeroen: En dan moet je van elke leverancier best veel weten, en liefst ook nog eens van hun onderaannemers in de volgende lijnen.
Rabab: Precies, ja. Best een hoop informatie. De uitdaging zit er vooral in dat organisaties – we zitten nu natuurlijk na 17 januari, dus we hopen dat ze het register al hebben ingevuld – een enorme exercitie hebben moeten doen om binnen de organisatie te zoeken: waar zit deze informatie? Wat moet ik eventueel nog opvragen bij mijn eigen leveranciers? Welke data heb ik nodig? Vaak is die informatie verspreid: de ene persoon monitort bepaalde data, een ander beheert een andere dataset. Het was vooral een kwestie van uitzoeken: waar zit het? Hoe kunnen we het bij elkaar krijgen? En wat moet ik eventueel nog bij mijn eigen leveranciers opvragen?
Jeroen: Wat moet je allemaal van zo’n partij weten? Ik neem aan dat je moet weten wat hun KVK-code is en in welke sectoren of subsectoren ze actief zijn. Moet je bijvoorbeeld ook hun credit rating weten?
Rabab: Nee, het is vooral puur gefocust op de dienst. Dus: welke partij is het? Informatie over het contract dat je met de leverancier hebt afgesloten. Welke diensten zij aan jou uitbesteden. Hebben zij onderaannemers? Het gaat erom dat je inzicht krijgt in je keten en weet welke diensten worden uitbesteed. Maar ook bijvoorbeeld de start- en einddatum van het contract, leenummers… eigenlijk van alles. Ik heb het register nu niet bij de hand, maar volgens mij zijn er rond de acht tot negen subregisters. Elk register bevat een aantal datavelden die ingevuld moeten worden.
Jeroen: Ik hoop dat er goede cyberbescherming op deze databronnen zit, want dit lijkt me niet iets wat je op straat wilt hebben liggen.
Rabab: Zeker niet.
Jeroen: Dat is wel een cynische opmerking van mijn kant. Laten we eens samen kijken naar wat er allemaal in DORA zit. Je had al wat aantekeningen gemaakt. Het gaat over het risicobeheer van je IT, incidentrapportage, weerbaarheidstesten, third-party risk—daar hadden we het net al over—maar ook over het delen van informatie. Dat zijn slechts een paar voorbeelden. Maar het is veel, hè?
Rabab: Klopt, dat is heel veel. Het zijn inderdaad precies de punten die je noemde: risicobeheer, incidentenbeheer, resilientietesten en TPRM. En dan het delen van informatie.
Jeroen: Wat was het laatste?
Rabab: Sorry, third-party risk management. Beheer van je derde partijen. Ik neig soms afkortingen te gebruiken.
Jeroen: Ik blijf gewoon vragen naar afkortingen.
Rabab: Dat zijn in principe de thema’s. En het klinkt misschien als heel veel, maar wat wel gezegd mag worden: DORA introduceert geen compleet nieuwe thema’s. Dit zijn onderwerpen die elke organisatie in de basis al zou moeten hebben. Binnen een risicokader heb je bijvoorbeeld al een proces voor incidentenbeheer: hoe je incidenten classificeert en rapporteert. Dat moet er in de basis al zijn. En informatiedeling is niet verplicht, maar als financiële instelling doe je dat wellicht al.
Jeroen: Met informatiedeling bedoel je delen met andere financiële instellingen? Of met toezichthouders? Waar gaat dit over?
Rabab: Bijvoorbeeld met andere financiële instellingen. Het gaat om het delen van informatie over bepaalde cyberdreigingen of incidenten in de markt, zodat je up-to-date blijft met wat er gebeurt. Maar die vereisten zijn niet nieuw. In de basis zou je al een en ander geregeld moeten hebben. Het doel van DORA is niet—of tenminste, dat is ook wat ik zou adviseren—dat je een “built-on” mentaliteit hebt, maar juist “built-in”. Veel processen en beleid heb je al binnen je organisatie. Zorg dat je weet waar je gaps zitten en integreer vanuit DORA wat je nog niet hebt in je bestaande processen en procedures. Probeer te voorkomen dat je er iets bovenop bouwt; het gaat om integratie. Vaak bouw je voort op wat je al hebt. Het is zelden nodig om helemaal opnieuw processen uit te tekenen en op te zetten—althans, dat hoop ik.
Jeroen: Nee, dat kan ik me voorstellen. Bij dit soort nieuwe wetgeving zie je vaak dat de eerste reactie is: “We moeten alle informatie verzamelen.” Een deel is er al, een deel moet nog toegevoegd worden. Dan wordt het vaak belegd bij de compliance- of juridische afdeling. Maar ik kan me voorstellen dat de geest van de wet is dat dit tot een cultuurverandering leidt, zodat de hele organisatie ermee bezig is. Mijn vraag in het verlengde hiervan: zijn de business lines, waar de daadwerkelijke business wordt gedaan, en het topmanagement al voldoende betrokken bij deze nieuwe wet- en regelgeving?
Rabab: Wat ik de afgelopen maanden heb gezien—ik heb zelf implementatieprojecten gedaan bij verschillende organisaties—is dat je verplicht wordt om dit echt organisatiebreed te integreren. Het is heel multidisciplinair, dus je bent met verschillende business lines en stakeholders bezig om dit te implementeren. Dat brengt mensen samen om te kijken hoe dingen nu worden gedaan en wat er moet veranderen.
Wat ik mooi vind aan DORA is dat in artikel 5 de verantwoordelijkheden van het bestuur expliciet worden uitgeschreven. DORA dwingt het bestuur om actief betrokken te zijn bij het opstellen van de strategie en bij het periodiek beoordelen van beleid en processen. Het is dus essentieel dat het bestuur betrokken is en inzicht heeft in de besluitvorming rondom digitale operationele weerbaarheid. Daarnaast moeten ze zicht hebben op de IT-risico’s en wat eraan wordt gedaan. Bestuursleden worden nu zelfs verplicht om trainingen te volgen en zich hier actief mee bezig te houden.
Jeroen: Als je nu kijkt op het continuum van “We doen dit puur omdat het moet, we willen compliant zijn, check the box” versus “We doen dit echt alleen maar omdat we zien dat het ons helpt” – de twee uitersten – waar zitten we dan ongeveer? Jij hebt natuurlijk de luxe om al die organisaties, of in ieder geval veel van binnen, te zien. Je zit een beetje in het midden, meer aan de compliancekant. Als je mensen off the record vraagt, dan hoor je altijd: “On the record zeggen we dat we meer aan de geest van de wet zitten, maar in de praktijk zitten we gewoon in check the box.”
Rabab: Precies. Ja, dat is echt een hele goede vraag. Ik zou zeggen dat, wat ik heb gemerkt, het in het begin vooral een compliance check was voor heel veel organisaties.
In ieder geval voor de organisaties waarmee ik zelf heb meegekeken. Omdat je natuurlijk met een deadline zit: “Ik moet compliant worden.” Dus voor veel was het gewoon een compliance check: “Ik moet nu gewoon voldoen, zo snel mogelijk.” Maar je merkt dat nu, nu de deadline voorbij is, en je natuurlijk ook kijkt naar wat je na 17 januari moet gaan doen, dat die mindset een beetje begint te veranderen. Vooral omdat de afgelopen maanden veel stakeholders hebben gezien dat dit best wel waardevolle wetgeving is. Dit is niet alleen iets wat je nu moet doen, maar het gaat ons echt helpen om onze positie te versterken. Dus je merkt dat dit langzaam begint te veranderen. En ik hoop dat dat zo blijft. Mijn advies voor de komende maanden en jaren zou dan ook zijn: hou het niet bij 17 januari en zeggen “we zijn klaar”, maar ga vooral verder. Kijk waar je processen verder kunt optimaliseren, waar je nog meer aan resilience kunt werken en waar je staat. Vooral ook het testen van de werking van wat je hebt geïmplementeerd. Je hebt nu je implementatie afgerond, of bijna afgerond, maar werkt het ook echt? Theorie is soms anders dan de realiteit.
Wat grappig is, stel je hebt een BCN-plan opgesteld en zegt: “Ik moet binnen vier uur herstellen.” Wat voor plan? Je business continuity plan. Stel je hebt een bepaald scenario op basis van je dreigingslandschap en zegt: “Ik ga dit testen.” Mocht dit echt gebeuren, dan heb je een plan en weet je wat je moet doen. Dan ga je dat testen. Is het effectief? Werkt het ook? Of kom je erachter dat dingen beter moeten? En dat is vooral het belangrijke na de DORA-implementatie: echt testen of wat je hebt geïmplementeerd werkt. Vaak kom je in de realiteit erachter dat je misschien niet alles binnen vier uur kunt herstellen. En dan is de vraag: moeten we terug naar de tekentafel en dingen opnieuw uitvinden of aanpassen, of moeten we bepaalde risico’s accepteren omdat het niet anders kan? En dat is prima, maar dat is wel iets wat je moet uitvinden en waar je een beslissing over moet nemen.
Jeroen: Dus dat is één uitdaging: dat je het gaande houdt, dat je niet nu stopt maar doorgaat, en ook blijft testen. Is er nog een tweede uitdaging? Wat zijn andere uitdagingen waar financiële instellingen mee worstelen?
Rabab: Ik denk vooral wat we het eerder over hebben gehad: de supply chain. Het maken van afspraken met je leveranciers. We hebben natuurlijk de afgelopen maanden ook hard gewerkt om contracten met leveranciers te updaten. Die contracten moeten ook opnieuw geaccordeerd worden, samen met de leveranciers, en die afspraken moeten opnieuw afgestemd worden. Je bent als organisatie natuurlijk ook afhankelijk van je IT-partij. Zijn ze het ermee eens? Zijn ze het niet ermee eens? Dus daar zit ook weer de uitdaging. Wat voor afspraken kun je afstemmen met je leveranciers? Zijn er bepaalde testen die je met je leveranciers moet uitvoeren? Etcetera.
Jeroen: Zijn er ook leveranciers die er niet uitkomen met de financiële instellingen, waardoor er zelfs al wisselingen van klanten plaatsvinden?
Rabab: Dat zou kunnen. Wat we af en toe zien, is dat financiële instellingen een addendum of een nieuw contracttemplate opstellen. Soms zeggen leveranciers: “Wij hebben ons eigen contract opgesteld op basis van DORA, dus we houden liever die van ons aan.” Dan is het gewoon een kwestie van even checken of dat overeenkomt met het contract dat oorspronkelijk is opgesteld. En dat is natuurlijk prima, maar je wilt wel vanuit de DORA, maar ook vanuit je eigen positie, ervoor zorgen dat die afspraken duidelijk in het contract staan.
Voice-over: Je luistert naar Leaders in Finance met Jeroen Broekema.
Jeroen: Toch nog even over puur de compliancekant van de zaak. Dus niet de geest van de wet, maar gewoon de letter. Wat staat er eigenlijk op niet-compliant zijn? Weet je dat? Welke toezichthouders gaan handhaven en hoe hard kunnen ze handhaven?
Rabab: Op dit moment in Nederland hebben we natuurlijk DNB en AFM. Die gaan voor hun eigen sector toezicht houden op de financiële instellingen. Wat gebeurt er als je niet compliant bent? In de DORA is dat ook best wel duidelijk uitgeschreven. Er kunnen verschillende onderzoeken en uitvragen gedaan worden door de toezichthouder. In eerste instantie verwacht ik natuurlijk dat er gewoon gecommuniceerd wordt: “Dit is nog niet goed, of dit is nog niet compleet.” Dus je moet correctieve maatregelen doorvoeren. In het meest vergaande scenario kan dit natuurlijk ook uitlopen op een boete. Dat staat er ook in. Maar dan moet het natuurlijk wel vrij heftig zijn, denk ik. In eerste instantie is de toezichthouder er ook wel echt voor om te kijken: “Wat voor correctieve maatregelen kunnen we treffen om ervoor te zorgen dat je het een en ander kunt verbeteren en het wel op de juiste manier kunt implementeren?”
Jeroen: Heel duidelijk. We hebben het er al op allerlei manieren een beetje over gehad, maar ik ga het toch nog één keer vragen. Hoe effectief vind jij nu? Want je bent er heel erg veel mee bezig, je ziet heel veel en hebt een heel duidelijke visie, denk ik, op de zaak. Hoe effectief is deze nieuwe wetgeving? Verandert het echt? Worden we met andere woorden uiteindelijk als financiële sector en als maatschappij meer resilient?
Rabab: Ja, ik vind van wel. Dat zul je wellicht merken als je een keer de… Ik weet niet of je daar zin in hebt, maar je kunt het eens proberen de wetgeving door te lezen. Het is best wel voorschrijvend. Het is echt heel gedetailleerd wat er gedaan moet worden. En onder de DORA, dit is natuurlijk de level 1 tekst, hebben de Europese toezichthouders ook nog technische standaarden gepubliceerd. Dat zijn echt wel acht technische standaarden, en die zijn best wel rule-based. Die schrijven precies voor wat je moet doen, hoe je dat moet doen, wat er in je beleid moet terugkomen, etc. Dus als organisatie word je ook wel echt gepusht om het vrij letterlijk te implementeren. En daarbij je positie…
Jeroen: Daar weinig ruimte voor interpretatie.
Rabab: Ja, dus uiteraard kun je het proportioneel implementeren. Maar als we kijken naar die thema’s incidentenbeheer, resilience testen, dan moet je dat nu wel als organisatie gewoon gaan doen. En daar moet je je processen voor gaan uitvoeren. En daarna gaan natuurlijk de DNB en AFM toezicht houden. Zij gaan ook kijken hoe effectief dit allemaal is geïmplementeerd. Maar ik denk zeker dat de DORA gaat helpen om de digitale weerbaarheid binnen de EU te versterken. En dat is ook het doel. Dus ja, ik ben er zeer optimistisch over.
Jeroen: Dat is ook heel belangrijk, want daar begint het mee. Waar jij net over had, zijn die RTS, die Regulatory Technical Standards, en ook die ITS, die Implementation Standards. Die dingen bedoel je, denk ik, hè?
Rabab: Klopt, dat zijn die Regulatory en Implementation Technical Standards. En daarnaast is het natuurlijk ook aan de financiële instelling zelf om te werken aan digitale weerbaarheid. Dus niet alleen als compliancecheck, maar ook echt zelf doordenken waar we nog meer kunnen verbeteren en versterken.
Jeroen: Ik heb nog drie laatste vragen aan jou, van mijn kant. In de eerste plaats, jullie zijn als EY geen financiële instelling, en ik neem aan ook niet zo’n CCTP, zo’n kritische partij, gok ik. Maar hoe hebben jullie zelf je suppliers georganiseerd? Hebben jullie dat ook zo strak geregeld als wat er nu verwacht wordt onder de DORA? Dat is even een gewetensvraag.
Rabab: Dat zal ik even moeten checken. Ik verwacht natuurlijk dat dat hartstikke goed geregeld is.
Jeroen: Dat is wel leuk, daar komen we nog een keer op terug.
Rabab: Klopt, ik ben voornamelijk bezig aan de andere kant. Dus echt wel met de financiële sector.
Jeroen: Je hoort vaak de longarts die zelf rookt en zo. Dus ja, je moet toch ook even kijken hoe jullie het zelf hebben georganiseerd. Maar dat zal ongetwijfeld goed zijn. Dat was mijn eerste vraag. Mijn tweede vraag is, als je nou één, twee of maximaal drie tips mag geven aan financiële instellingen gerelateerd aan DORA, wat zou het dan zijn?
Rabab: Ja, dus vooral zorgen dat je je Minimum Viable Product echt geïmplementeerd is. Het is natuurlijk 17 januari geweest, maar zorg ervoor dat je je implementatie afrondt. Maar dat je het ook operationaliseert. Dus zorg dat hetgeen wat je nu op papier hebt gezet, niet daarbij blijft, maar dat je ervoor zorgt dat alles operationeel wordt. Dat je het binnen de organisatie communiceert. Dat iedereen weet wat er nu moet gebeuren. Dat je de juiste testen gaat uitvoeren. Dus ook je testen in bestaande werking. Werkt het ook allemaal? Dat is natuurlijk heel belangrijk. En daarnaast, kijken naar de toekomst. Stop niet op dit punt. Dus ga vooral verder kijken naar waar we onze processen verder kunnen optimaliseren. Waar we ook verder kunnen automatiseren. Ik heb bij veel organisaties gezien dat zij ervoor hebben gekozen om nu het register handmatig in te vullen in Excel. Dat is gewoon een template die ook door de toezichthouder is aangeleverd. Dat is prima, omdat je nu met een deadline zit en je het zo snel mogelijk moet invullen. Maar dat is op de lange termijn niet echt efficiënt. En daar zou je bijvoorbeeld willen kijken: hoe kunnen we dit efficiënter maken? Hoe kunnen we dit door middel van tooling gaan automatiseren?
Jeroen: Om daar techpartijen bij te betrekken of intern zelf te bouwen?
Rabab: Bijvoorbeeld. En dat zijn bijvoorbeeld aspecten waar je nu ook naar gaat kijken. Dus echt de nice-to-haves. Je hebt je kritische elementen, je minimum viable product. Dat heb je als het goed is nu wel op orde. En nu kijken naar de toekomst: zitten er nog kleine gaatjes die ik moet corrigeren? Is het effectief? Heb ik getest? Werkt het allemaal zoals het hoort? En kijken naar de toekomst: zit daar nog een stuk optimalisatie of automatisering in wat ik kan realiseren? En hou vooral ook de communicatie met de toezichthouder in de gaten. De DNB heeft vorige week gezegd dat ze het register zouden opvragen in april. Dat geeft je net wat meer beweegruimte, denk ik, in je financiële instelling. De AFM heeft aangegeven dat ze in februari de uitvraag zullen doen. Dus dat is ook goed om te weten, omdat je zegt: ik moet vrij snel in februari…
Jeroen: Goed gecoördineerd, dezelfde maand.
Rabab: Ja, dat was inderdaad…
Jeroen: Enig cynisme in mijn stem, maar oké. Dicht bij elkaar.
Rabab: Klopt, maar dat is wel echt belangrijk om even in de gaten te houden. Wat zegt de toezichthouder? Waar gaan ze rekening mee houden? Waar zullen eventuele uitvragen mee beginnen? Maar goed, dat vooral stukje operationalisatie… en procesoptimalisatie slash automatisering… is denk ik de volgende stap ook in het proces.
Jeroen: Je hebt het ongelooflijk helder uitgelegd allemaal. Ik begreep het helemaal. Dus als ik het begrijp, dan moeten er veel meer mensen het begrijpen. Mijn laatste vraag, want ik zei dat ik er nog drie had: is er nog iets waarvan je zegt: “Rabab, leuk Jeroen, maar dat heb je toch echt gemist?” Of “Dat had je echt moeten vragen?” Dan is dit het goede moment daarvoor.
Rabab: Nou ja, misschien nog een vraag die je zou kunnen afvragen: is er echt verschil qua DORA tussen de verschillende soorten financiële instellingen? Wellicht is dat nog een interessante.
Jeroen: Het is een hele goede vraag die je jezelf stelt. Dus ik ben benieuwd naar het antwoord. Dus met andere woorden, lopen de banken voor, of de verzekeraars, of de asset managers, of de fintechs, of weet ik veel?
Rabab: Klopt, het is natuurlijk een vraag die wij ook krijgen. Hoe staan de anderen ervoor? Omdat je natuurlijk zelf ook wel weet hoe je er zelf voor staat. Loop je achter of niet? In principe, als we kijken naar de verschillende financiële instellingen, kijk, de DORA is gewoon de DORA. Dat is gewoon een vast wetgevingskader, dus iedereen moet het implementeren. Ik denk dat het verschil voornamelijk zit in het startpunt. Dus als we kijken naar het afgelopen jaar of twee jaar, waarin verschillende financiële instellingen zijn gestart met een gap-analyse, dan zien we vooral dat hun startpunt het belangrijkste verschil is. Banken zijn over het algemeen net wat volwassener, merk ik. Dus die hadden net wat voorsprong, zou ik maar zeggen, in bepaalde processen of vereisten die ze al hadden, ten opzichte van misschien andere typen financiële instellingen. Maar dat had dan puur te maken met hun volwassenheid, omdat er dan verstrengdere voorwaarden zijn, dus je moest het goed doen, etc. Dus echt het startpunt. Maar ik denk in de basis, wat ik eerder zei, de DORA is niet nieuw. Dus in de basis hadden de meeste organisaties het een en ander al. Het was echt alleen puur identificeren waar ze tegenaan liepen en waar je op moet voortbouwen. En dan vooral echt integreren en niet daarnaast dingen gaan opbouwen. Je wilt bijvoorbeeld niet een incidentenbeheerproces voor DORA naast je reguliere incidentenproces. Dat wil je gewoon niet. Dus ik hoop dat organisaties daar echt wel rekening mee hebben gehouden om een holistische en geïntegreerde aanpak daarin te hanteren. En dan zou het echt wel goed moeten komen.
Jeroen: Op zo’n optimistische noot wil ik graag eindigen. Heel veel dank, Rabab Larabi, de Manager Cybersecurity bij EY, voor je tijd, maar ook voor je ongelooflijk heldere uitleg. Het is echt, ik zei het net al, maar echt heel helder. Veel dank daarvoor. Ik heb zometeen een bedankje voor je om mijn dank wat kracht bij te zetten. En voor nu, luisteraars, heel fijn dat je hebt geluisterd naar Leaders in Finance. En nogmaals, Rabab, dankjewel voor jouw tijd.
Rabab: Dankjewel, Jeroen.
Voice-over: Dit was Leaders in Finance. We hopen dat je deze aflevering met veel plezier hebt beluisterd. We stellen je feedback erg op prijs. Wat houdt je bezig en over wie wil je meer horen? Laat het weten via een Apple of Google Review. Dat kan ook via de sociale mediakanalen of direct via een e-mail. We kunnen het enorm waarderen als je dat doet. Tot slot danken we onze partners voor hun steun. Dat zijn Kayak, EY, Medirect, Zanders en Roland Berger. Tot de volgende Leaders in Finance en bedankt voor het luisteren.