100% audit ready voor DORA

Hoe doe je dat?

Sinds 2023 is de Digital Operational Resilience Act (DORA) van kracht binnen de Europese Unie. Een wet die financiële instellingen weerbaarder moet maken tegen cyberdreigingen en digitale aanvallen.

De financiële sector en hun IT-leveranciers hebben nog (maar) tot 17 januari 2025 om aan alle eisen te voldoen. Deze whitepaper gaat over de impact van DORA en waarom inzicht in IT-risico’s dan essentieel is. Je leest ook hoe je dat onmisbare inzicht krijgt en hoe je bij inspecties en audits aantoont dat je de eisen van DORA naleeft.

Wat is DORA?

De Digital Operational Resilience Act (DORA) legt financiële instellingen en hun (kritieke) IT-leveranciers normen op voor ICT-beheer en -beveiliging. Het is uniforme Europese wetgeving die dient als basis voor een robuust en veilig digitaal ecosysteem.

Hierbij heeft DORA niet alleen het mitigeren van cyberdreigingen als doel, maar ook het reduceren van financiële en administratieve lasten. Toezichthouders zoals de Europese Autoriteit voor Effecten en Markten (ESMA) en de Europese Autoriteit voor Verzekeringen en Bedrijfspensioenen (EIOPA) spelen een centrale rol in de handhaving van deze regelgeving.

DORA focust op 5 kerngbieden:

1. ICT-risicobeheer

Sterke mechanismen opzetten om ICT-risico’s te identificeren, beheren en beperken. Denk hierbij aan Informatiebeveiliging Management Systemen (ISMS) die organisaties helpen om risico’s gestructureerd aan te pakken.

2. Operationele veerkracht

Een hoog niveau van operationele veerkracht verzekeren, zodat organisaties snel kunnen herstellen van operationele verstoringen. Effectieve incidentresponssystemen spelen hierbij een belangrijke rol.

3. Incidentrapportage

Organisaties moeten strikte protocollen volgen om ICT-gerelateerde incidenten aan de relevante autoriteiten te rapporteren, bijvoorbeeld aan de Autoriteit Persoonsgegevens bij datalekken.

4. Veiligheidsmaatregelen

Sterke beveiligingsmaatregelen implementeren om ICT-systemen te beschermen tegen cyberdreigingen. Dit betreft zowel technische als organisatorische maatregelen.

5. Controle en testen

Regelmatige controles en testen van ICT-systemen moeten helpen de effectiviteit van de veiligheidsmaatregelen te waarborgen.

Inzicht in IT-risico’s is cruciaal

DORA moet op 17 januari 2025 volledig zijn ingevoerd binnen organisaties. Voldoen ze tegen die tijd niet aan de eisen? Dan kunnen de gevolgen van niet compliant zijn variëren van correctieve acties tot boetes en zelfs het stopzetten van bedrijfsactiviteiten.

IT-incidenten kunnen daarnaast leiden tot aanzienlijke reputatieschade, hoge herstelkosten en forse boetes. Risico’s effectief beheren tot een voor de onderneming geaccepteerd niveau helpt dit voorkomen. En dat begint bij helder inzicht in de IT-risico’s. Je bewust zijn van potentiële kwetsbaarheden is daarin essentieel en vormt stap één voor organisaties om proactief maatregelen te nemen tegen cyberdreigingen.

Het is dus ook niet voor niets dat de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) een aantal basisprincipes definieerden om te ondersteunen bij het voldoen aan de DORA-vereisten. Hieronder vallen onder meer Governance, Organisatie, Mensen en Cultuur, Processen, Technologie en Data, Facilities, Outsourcing, Testen en Risk Management Cycle.

En is er sprake van uitbesteed IT-werk? Dan geldt extra risicobeheer van derden. Daarom moeten dus ook niet-financiële organisaties, zoals leveranciers en partners in de keten, rekening houden met de DORA-vereisten.

Aantoonbare risicobeheersing noodzakelijk

DORA vereist dat organisaties niet alleen de IT-risico’s kennen, maar ook aantoonbaar stappen ondernemen om die risico’s te mitigeren. Dat betekent dat financiële instellingen niet alleen voorbereid moeten zijn op verstoringen, maar ook snel moeten kunnen herstellen om operationele continuïteit te waarborgen.

Bestaande IT-systemen en het softwareontwikkelproces testen is daarom cruciaal om incidenten vóór te zijn en staat niet voor niets in het rijtje van de DORA-basisprincipes.

Testen binnen DORA: voorkomen is beter dan genezen

Met DORA wordt het belang van softwaretesten extra onderstreept. Testen helpt potentiële risico’s identificeren en mitigeren, nog voordat ze impact kunnen hebben op de operationele weerbaarheid van de organisatie.

De wetgeving vereist dat organisaties hun ICT-systemen regelmatig en grondig testen om de effectiviteit van de veiligheidsmaatregelen te waarborgen. Dan hebben we het concreet over:

Kwetsbaarheden zo vroeg mogelijk ontdekken

Testen helpt kwetsbaarheden identificeren en problemen en dreigingen in een zo vroeg mogelijk stadium op te lossen, het liefst nog voordat ze schade aanrichten.

Beveiligingsmaatregelen controleren

Grondig en regelmatig testen zorgt ervoor dat de maatregelen (blijven) werken zoals ze zijn bedoeld.

Wetten en regels naleven

Met (gedocumenteerde) testen kun je aantonen dat je compliant bent aan DORA en aan andere regelgeving. Dit is belangrijk voor audits en inspecties.

Operationele veerkracht vergroten

Door de processen voor disaster recovery — zoals backup, restore en failover-mechanismen — te testen en productie te monitoren, kunnen organisaties hun wendbaarheid en daadkracht in noodsituaties verbeteren.

Testmanagement is cruciaal voor compliancy en kwaliteitsborging

In softwareontwikkeling is het essentieel om aandacht te geven aan testmanagement en de verschillende soorten testen. Zo zorg je ervoor dat je software robuust, veilig en compliant is, en met vertrouwen kan worden gebruikt.

Het gaat dan niet alleen om testen hoe sterk je beveiliging is tegen dreigingen van buitenaf. Juist in softwareontwikkeling kunnen door bijvoorbeeld de IT-complexiteit en strakke deadlines al kwetsbaarheden ontstaan. Ga je hier proactief mee om en richt je de juiste tools en processen in, dan voorkom je in een vroeg stadium al veel problemen.

Goed doortimmerd testmanagement en inzicht in de testdekking zorgen ervoor dat alle testen gestructureerd en gedocumenteerd plaatsvinden. Dat is onmisbaar voor compliancy en kwaliteitsborging. Onderdeel van testmanagement is een helder overzicht van welke testen wanneer zijn uitgevoerd, wat de resultaten waren en welke acties daarop zijn genomen.

Effectief testmanagement gaat altijd uit van:

Een systematische aanpak

Waarbij alle testactiviteiten worden gepland, uitgevoerd en gedocumenteerd volgens vooraf gedefinieerde procedures.

De juiste testdekking

Inzicht in de testdekking helpt nagaan welke delen van de software zijn getest en welke (nog) niet. Zo zie je geen kritieke onderdelen over het hoofd.

Risicogebaseerd testen

Je richt je testinspanningen op de kritiekste en risicovolste delen van de software om de efficiëntie en effectiviteit van je testproces te verhogen.

Compliance-verantwoording

Een goed gedocumenteerd testmanagementproces en gedetailleerde testdekking zijn essentieel om aan te tonen dat je compliant bent aan DORA en andere regelgeving. Dit helpt bij audits en inspecties door toezichthouders.

Continu verbeteren

Met inzicht in de testdekking en de resultaten van eerdere testen kunnen organisaties hun testprocessen continu verbeteren en optimaliseren. Dat leidt altijd tot minder risico’s en betere softwarekwaliteit.

Belangrijke testsoorten op een rij

Unit testen

Deze testen richten zich op de kleinste componenten van de software. Ze helpen fouten en kwetsbaarheden in de code opsporen om problemen later in het proces te voorkomen.

Integratietesten

Deze testen bevestigen dat verschillende modules of services in de software goed samenwerken. Zo los je vroegtijdig problemen op die je niet ziet in individuele componenttesten.

Systeemtesten

Deze testen controleren of de software voldoet aan de functionele vereisten. Alle functies worden getest om te garanderen dat ze correct werken.

Securitytesten

Deze testen omvatten het volledig testen van het hele systeem als een complete, geïntegreerde applicatie om ervoor te zorgen dat het voldoet aan de functionele en niet-functionele vereisten (zoals prestaties en beveiliging). Het wordt uitgevoerd in een omgeving die de productiesituatie nabootst.

Performancetesten

Deze testen evalueren hoe de software presteert onder verschillende belasting. Het doel is om ervoor te zorgen dat de software stabiel blijft en efficiënt werkt, zelfs bij piekbelasting.

Acceptatietesten

Deze testen verifiëren of de software voldoet aan de bedrijfsvereisten en klaar is voor productie. Ze worden vaak uitgevoerd door eindgebruikers of klanten. De meest voorkomende vorm is User Acceptance Testing (UAT), waarbij eindgebruikers testen of de applicatie hun behoeften vervult.

DORA vereist waterdichte audit trails

Bij audits en inspecties door toezichthouders zijn waterdichte audit trails onmisbaar. Deze controlesporen helpen je bewijzen dat je voldoet aan de relevante wetten en regels — dus ook aan DORA. Audit trails geven een gedetailleerd overzicht van alle activiteiten binnen ICT-systemen.

Bij incidenten zijn audit trails een waardevolle bron om de oorzaak te analyseren en preventief maatregelen te nemen. Je ziet wat er gebeurde, hoe dat gebeurde en welke stappen nodig zijn om herhaling te voorkomen.

De grote vraag is wel waar je dat aantoonbare bewijs vandaan haalt. Terwijl de vraag naar steeds sneller releasen en hogere kwaliteitseisen je testprocessen sowieso al uitdagen. Hoe ver kun je over alle verschillende testen terugkijken in je testhistorie? En hoe makkelijk kun je aantoonbare, audit ready rapportages opleveren?

Conclusie: geen speld tussen te krijgen

De DORA deadline van 17 januari 2025 nadert rap. Uitstel is geen optie meer. Het is voor financiële instellingen en andere IT-kritische organisaties van groot belang om actie te ondernemen en DORA compliant te zijn.

Beheer en controle over veilige IT-processen moet ijzersterk in de steigers staan. Beter vandaag dan morgen. Om risico’s tegen cyberdreigingen te beheersen, wettelijke naleving te waarborgen en operationele stabiliteit te garanderen.

Grote financiële organisaties zijn vast al gestart. Maar ook leveranciers en partners, de hele keten moet voorbereid zijn. Het risico op boetes, reputatieschade en zelfs activiteiten moeten stilleggen, is te groot.

De digitale dreiging blijft groeien en meer strenge Europese regelgeving volgt vast en zeker. Het is dus tijd om serieus werk te maken van DORA en actie te ondernemen. Voor een veilige en stabiele digitale wereld. Voor ons allemaal.

Over Orangebeard: 1 Software Quality Intelligence Platform, alle antwoorden

Steeds meer testactiviteiten worden geautomatiseerd. Maar de doorlooptijd van testen blijft een knelpunt. Het aantal testen groeit en testen analyseren kost veel tijd. Je raakt hierdoor ook nog het overzicht kwijt.

Orangebeard geeft je vanaf één plek controle over alle testactiviteiten in je bestaande test- en ontwikkeltools. Van automatische defectanalyse, slim leren van eerdere testruns tot heldere rapportages voor audits.

Je ziet alles, weet meer en doet meer met wat echt nodig en nuttig is. Zo stuur je met Orangebeard op de slimste manier naar de snelste oplevering van de beste software.

(geen creditcard nodig)