DORA: een kans voor internal audit!

Op 16 januari 2023 werd de digital operational resilience act (DORA) effectief in de EU. DORA moet voor 17 januari 2025 geïmplementeerd zijn door financiële entiteiten.

DORA vereist een algehele basishygiëne voor informatiebeveiliging van vrijwel de hele financiële sector. Operationele weerbaarheid is een kernbegrip dat verstrekkende gevolgen kan hebben. Om de weerbaarheid te borgen vraagt DORA expliciet het oordeel van de internal auditor. Dit artikel introduceert de belangrijkste punten van DORA, welke rol internal audit hierin speelt en welke uitdagingen en kansen DORA biedt.

Achtergrond van DORA

De weerbaarheid van financiële instellingen en markten tegen cyberaanvallen en operationele verstoringen is van het grootste belang. DORA is de uitkomst van een initiatief van de Europese Unie om de operationele weerbaarheid van financiële instellingen te verbeteren in het digitale tijdperk, waaronder die van banken, betaaldiensten, verzekeringsmaatschappijen en vermogensbeheerders.

De wet schrijft een gestructureerd kader voor waarin financiële entiteiten digitale operationele risico’s effectief moeten identificeren, beperken en beheersen. Dit omvat risico’s die voortvloeien uit cyberaanvallen, technologiestoringen, datalekken en andere digitale kwetsbaarheden. DORA is van toepassing op vrijwel alle financiële entiteiten en zorgt ervoor dat elke speler in het financiële ecosysteem bijdraagt aan de algehele stabiliteit.

DORA vereist een expliciete betrokkenheid en verantwoordelijkheid (en daarmee aansprakelijkheid) van bestuurders

Dit betekent overigens niet dat de financiële sector structureel achterloopt bij de beheersing van digitale operationele risico’s. Van een belangrijk deel van de financiële sector (banken, verzekeraars, pensioenfondsen) wordt verwacht dat de volwassenheid van beheersing al op voldoende niveau is. Bijvoorbeeld omdat De Nederlandsche Bank al geruime tijd specifiek toezicht houdt op de wijze van informatiebeveiliging bij deze entiteiten. Deze verwachting wordt met de komst van DORA herijkt. De herijking zal in meer of mindere mate betekenen dat achterstallig onderhoud moet worden ingehaald. Deze prioritering zal ook worden beleefd in de bestuurskamers, omdat DORA een expliciete betrokkenheid en verantwoordelijkheid (en daarmee aansprakelijkheid) van bestuurders vereist.

De rol van internal audit

DORA benoemt expliciet de rol voor internal audit bij het bevorderen van de operationele weerbaarheid (artikel 6 lid 4 DORA). Internal audit fungeert onafhankelijk en objectief binnen financiële instellingen, verantwoordelijk voor het evalueren van de effectiviteit van IT-risicobeheer, -beheerskaders en -governanceprocessen. In de context van DORA krijgt internal audit een wettelijk verankerde rol. Deze rol ziet toe op de hierna genoemde onderwerpen.

Risicobeoordeling en identificatie
Internal audit heeft als taak financiële instellingen te helpen bij het identificeren van mogelijke digitale risico’s die het goed functioneren van de operatie kunnen bedreigen. Dit omvat uitgebreide dreigingsanalyses en risico-identificatie en -beoordeling die het volledige technologische landschap in overweging nemen, inclusief afhankelijkheden van dienstverleners en onderling verbonden systemen binnen een groepsstructuur. Door risico’s proactief te identificeren, stelt internal audit financiële instellingen in staat doelgerichte beheersmaatregelen te implementeren (of te verbeteren) om kwetsbaarheden (verder) te beperken.

Stress testing en disaster recovery
DORA benadrukt het belang van stress testing en disaster-recoveryplannen. Internal audit draagt bij door de adequaatheid van het proces voor dergelijke scenario’s en de effectiviteit van noodplannen te evalueren. Door grondig te testen kunnen financiële entiteiten hun gereedheid beoordelen en evalueren om verschillende digitale verstoringen aan te pakken, waarbij wordt gewaarborgd dat reacties tijdig en effectief zullen zijn.

Governance en toezicht
Een effectieve governancestructuur is een essentieel onderdeel van operationele weerbaarheid. Internal audit evalueert de opzet van het governanceraamwerk binnen financiële instellingen om ervoor te zorgen dat verantwoordelijkheden en verantwoording voor operationele weerbaarheid duidelijk zijn gedefinieerd. Dit omvat ook het beoordelen van de betrokkenheid van het seniormanagement en de raad van bestuur bij besluitvormingsprocessen met betrekking tot digitale risico’s en de evaluatie daarvan.

Samenwerking en communicatie
DORA benadrukt de noodzaak van samenwerking tussen financiële entiteiten en toezichthoudende autoriteiten tijdens crisissituaties. Internal audit faciliteert effectieve communicatie door de helderheid en efficiëntie van communicatiekanalen te beoordelen. Dit zorgt ervoor dat relevante belanghebbenden tijdig op de hoogte worden gebracht en dat de juiste informatie beschikbaar komt, waardoor gecoördineerde reacties op opkomende dreigingen mogelijk zijn.

Monitoring en rapportage
Internal audit beoordeelt regelmatig de effectiviteit van risicobeheerstrategieën en beheersmaatregelen. De risicobeheersing ziet uiteraard toe op het risicobeheerraamwerk gericht op informatiebeveiliging. DORA biedt internal audit de wettelijke grondslag om ook op dit gebied waardevolle inzichten te geven die financiële instellingen in staat stellen processen te verbeteren en beheersing effectief te houden. Daarnaast voorziet de periodieke rapportage in de informatiebehoefte bij het seniormanagement en raad van bestuur over de operationele weerbaarheid van de financiële instelling.

Uitdagingen en kansen

Het implementeren van DORA en daarmee mogelijk het versterken (of installeren) van de rol van internal audit, brengt zowel uitdagingen als kansen met zich mee voor financiële instellingen.

De expertise die noodzakelijk is om een IT-risicoanalyse goed te doen, is niet altijd beschikbaar binnen de financiële entiteit. Dit geldt ook voor internal audit

Uitdagingen

Proportionaliteit – DORA geeft ruimte voor de toepassing van proportionaliteit. Echter, deze ruimte is naar mijn oordeel op dit moment minimaal. Voor de kleine financiële entiteiten is er nog wel wat ‘lucht’, maar bijvoorbeeld vergunninghoudende beheerders van beleggingsinstellingen worden op dezelfde manier behandeld als een bank. Omdat de technische uitwerking van DORA nog niet definitief is, kan mogelijk nog wat ruimte ontstaan. Dit neemt niet weg dat voor de toepassing van proportionaliteit eerst een goede IT-risicoanalyse gedaan moet zijn. De expertise die noodzakelijk is om een dergelijke risicoanalyse goed te doen, is niet altijd beschikbaar binnen de financiële entiteit. Dit geldt ook voor internal audit.

Complexiteit van het digitale ecosysteem – DORA vereist expliciet identificatie en beheersing van onderlinge verbondenheid van digitale systemen die gebruikt worden voor bedrijfsprocessen. Het in kaart brengen van onderlinge verbondenheid (bijvoorbeeld interfaces) kan het moeilijk maken om potentiële risico’s volledig te identificeren, beoordelen en beheersen. Internal audit moet ook in staat zijn als onderdeel van de eigen risicobeoordeling, te toetsen of de volledigheid van het ecosysteem in kaart is gebracht en of onderlinge verbondenheid goed is geïdentificeerd en beheerst.

Snel veranderend dreigingslandschap – De dynamische aard van cyberdreigingen vereist voortdurende waakzaamheid en aanpassing en/of verbetering van de beheersing om de operationele weerbaarheid te borgen. Het beoordelen van deze dynamiek is ook onderdeel van de taak die DORA internal audit geeft. Het aanpassen en herbeoordelen van de auditstrategie op grond van de laatste ontwikkelingen vereist aandacht en expertise.

Prioriteit en capaciteit – Het implementeren van de vereisten van DORA kan de middelen van kleinere financiële entiteiten onder druk zetten. Dit geldt ook voor de inrichting – en het eventueel moeten opschalen – van de internal auditfunctie. De expertise en ervaring die nodig is om de genoemde taken te vervullen is schaars.

Kansen

Innovatie in risicobeheer – DORA moedigt de ontwikkeling van innovatieve risicobeheerconcepten aan die technologie benutten om operationele weerbaarheid te verbeteren. DORA vraagt actief informatiebeveiligingsrisico’s te meten en de daaraan gerelateerde risicobereidheid. Het inzichtelijk maken van de risicobereidheid geeft meer sturing aan het proportionaliteitsbeginsel. Hierin speelt internal audit een belangrijke rol, waarbij internal audit zekerheid kan geven bij de volwassenheid van de metingen, de compleetheid van de metingen en de relevantie van de gekozen metingen ten opzichte van de geïdentificeerde risico’s.

Kennisdeling – De wet bevordert samenwerking en informatie-uitwisseling tussen financiële instellingen, waardoor de sector gezamenlijk zijn benadering van operationele weerbaarheid kan ontwikkelen. Dit geldt ook voor internal audit, bijvoorbeeld voor het beoordelen en classificeren van het dreigingslandschap voor de financiële sector en specifiek zelfs voor de vermogensbeheersector. Kennisdeling versterkt de financiële sector, maar ook de positie en rol van internal audit in het kader van DORA.

Nadrukkelijke rol voor internal audit – DORA verhoogt de status van internal audit, positioneert het als een belangrijke schakel bij operationele weerbaarheid en bevordert een cultuur van risicobewustzijn binnen de financiële instelling.

Conclusie

In een hoog geautomatiseerde financiële sector is DORA een essentiële en noodzakelijke stap om de stabiliteit en weerbaarheid van alle financiële instellingen te waarborgen. DORA geeft internal audit een belangrijke rol bij het testen en beoordelen van de operationele weerbaarheid. Een robuuste internal auditfunctie heeft een belangrijke rol in het versterken van vertrouwen, het beschermen van systemen en het handhaven van de integriteit van het financiële ecosysteem.