GoCredible’s DORA aanpak | Interview met Michael Schoevaart
De Digital Operational Resilience Act (DORA) is nieuwe Europese wetgeving die digitale weerbaarheid binnen de financiële sector moet versterken. Voor GoCredible betekent dit niet alleen interne veranderingen, maar ook verantwoordelijkheid voor de hele toeleveringsketen. In dit interview bespreken we met Michael Schoevaart, onze Program & Risk Manager, hoe GoCredible DORA implementeert, welke uitdagingen daarbij komen kijken en hoe het bedrijf zich voorbereidt op toekomstige ontwikkelingen. Hier lees je alles over GoCredible’s DORA aanpak.
Wat houdt DORA precies in en waarom is deze wetgeving ingevoerd?
DORA staat voor de Digital Operational Resilience Act. Het is een Europese regelgeving die is ingevoerd omdat de overheid zich zorgen maakt over de digitale weerbaarheid van financiële instellingen. Ze zien dat veel organisaties niet uit zichzelf alle noodzakelijke stappen zetten om compliant te blijven. DORA biedt dus een soort stok achter de deur om ervoor te zorgen dat instellingen voldoende maatregelen treffen om cyberweerbaar te zijn.
Wat betekent deze regelgeving voor GoCredible en de paymentsector?
De impact is aanzienlijk. DORA gaat verder dan alleen je eigen organisatie; het legt ook de verantwoordelijkheid bij je hele keten. Dus je bent niet alleen aansprakelijk voor je directe leveranciers, maar dan ook weer voor hun leveranciers. Dat betekent dat je afspraken moet maken over digitale weerbaarheid met iedereen in je keten. Die ketenverantwoordelijkheid is echt een belangrijk punt binnen DORA. Dat zien we ook bij onze leveranciers, iedereen pakt dit serieus op. We hebben de hoge ambitie om de beste FinTech van Nederland te zijn en DORA geeft ons het inzicht dat we nodig hebben om ons nog verder te verbeteren.
Hoe hebben jullie de implementatie van DORA bij GoCredible aangepakt?
We zijn gestart met een dashboard waarin we kunnen monitoren waar we staan. DORA is opgedeeld in verschillende hoofddomeinen, en we hebben per onderdeel onze volwassenheid ingeschat aan de hand van een maturity model. Op basis daarvan hebben we vijf speerpunten opgesteld waarmee we toewerken naar het gewenste niveau. Daarnaast is er een actielijst gekomen, want er moet nog best veel gebeuren om de verbeterpunten te overbruggen. De wetgeving is enorm uitgebreid, en vereist dat je regel voor regel bekijkt wat er nodig is. Daarom is het belangrijk dat we stap voor stap, en secuur te werk gaan.
Wat zijn de grootste uitdagingen geweest?
De omvang. DORA is echt een gigantische waslijst. Dat is voor veel bedrijven best een opgave. Je moet het namelijk niet alleen doen, maar ook echt goed doen. Het vergt veel onderzoek en actie. De good practices van De Nederlandsche Bank helpen ons hierbij, al ontbreken hierin ook nog zo’n 15% van alle DORA-vereisten, vooral op het gebied van third-party risk management.
Wat voor effect heeft DORA op jullie incidentmanagementproces gehad?
We hebben een incidentclassificatieschema opgesteld en cyberdreigingen worden ook apart geclassificeerd. Het idee is dat je als organisatie verantwoord omgaat met je incidenten en dat je als geheel digitaal weerbaar bent.
Hoe hebben jullie alle GoCredible medewerkers bewust gemaakt van DORA en hun rol daarin?
Voor het bestuur is het volgen van een cyberweerbaarheidstraining verplicht, zodat ook zij de implicaties van DORA goed begrijpen. Maar de rest van de organisatie wordt daar ook in meegenomen. We maken gebruik van trainingen en tools, bijvoorbeeld om phishing te leren herkennen. In oktober, ook wel bekend als de cyberweerbaarheidsmaand, organiseren we allerlei activiteiten om de bewustwording te vergroten.
Denk je dat DORA in de toekomst verder uitgebreid zal worden? En hoe bereiden jullie je daarop voor?
Dat is goed mogelijk. Wetgeving kan nu eenmaal verouderen, en zeker in een snel veranderende tech-omgeving zullen er aanpassingen komen. We proberen ons daarop voor te bereiden door onze processen continu te evalueren en bij te sturen. Zo blijven we niet alleen compliant, maar ook weerbaar richting de toekomst.
Contact
Nog meer te weten komen over hoe wij met DORA omgaan? Stel gerust al je vragen.
Op de hoogte blijven van wat wij doen? Volg ons ook op LinkedIn!