ISMS Copilot
DORA met AI

Een DORA ICT-risicobeheerkader bouwen met behulp van AI

Overzicht

U leert hoe u met behulp van AI een uitgebreid ICT-risicobeheerkader bouwt dat voldoet aan DORA-artikelen 6-16. Deze gids behandelt de volledige structuur van het kader, van governance en risico-identificatie tot bescherming, detectie, respons, herstel en continue verbetering, met specifieke ISMS Copilot-prompts voor het genereren van elk onderdeel.

Voor wie is dit bedoeld

Deze gids is voor:

  • CISO's en IT-risicomanagers die ICT-risicobeheerkaders bouwen of verbeteren voor DORA-compliance

  • Compliance officers die verantwoordelijk zijn voor het documenteren van ICT-risicobeheerbeleid en -procedures

  • Consultants die DORA-conforme kaders ontwikkelen voor klanten binnen financiële entiteiten

  • Leden van risicocomités en bestuursorganen die toezicht houden op de governance van ICT-risico's

  • Interne auditors die de adequaatheid van ICT-risicobeheersmaatregelen beoordelen

Voordat u begint

U heeft het volgende nodig:

  • Een ISMS Copilot-account (gratis proefversie beschikbaar)

  • Voltooiing van de fundamentele stappen in Aan de slag met de DORA-implementatie met behulp van AI, inclusief reikwijdtebepaling en gap-analyse

  • Uw bestaande ICT-risicobeheerdocumentatie (beleid, risico-registers, activalijsten) voor een gap-vergelijking

  • Inzicht in uw ICT-landschap (applicaties, infrastructuur, clouddiensten, netwerktopologie)

  • Toegang tot belangrijke belanghebbenden: CISO, CRO, IT-operations, business continuity manager

De DORA-vereisten voor ICT-risicobeheer in de artikelen 6-16 vormen de ruggengraat van de gehele verordening. Het kader dat u hier bouwt, vormt de basis voor incidentrapportage, weerbaarheidstests en het beheer van risico's bij derden. Investeer voldoende tijd om deze pijler goed te krijgen.

Inzicht in de DORA-vereisten voor ICT-risicobeheer

Analyse per artikel

Hoofdstuk II van DORA (artikelen 5-16) stelt de meest gedetailleerde vereisten voor ICT-risicobeheer vast in de EU-regelgeving voor financiële diensten. Het begrijpen van de specifieke eisen van elk artikel is essentieel voordat u uw kader opbouwt:

Artikel

Titel

Belangrijkste vereisten

Belangrijkste resultaten

Art 5

Bestuur en organisatie

Bestuursorgaan definieert, keurt goed en herziet het ICT-risicokader

Bestuursmandaat, governance-handvest, trainingsprogramma

Art 6

ICT-risicobeheerkader

Uitgebreid, gedocumenteerd kader met strategieën, beleid en procedures

Kaderdocument, ICT-risicostrategie, jaarlijks beoordelingsproces

Art 7

ICT-systemen, protocollen en instrumenten

Betrouwbare en veerkrachtige ICT-systemen die worden onderhouden en bijgewerkt

Systeemstandaarden, updatebeleid, capaciteitsbeheer

Art 8

Identificatie

Identificeer, classificeer en documenteer alle ICT-activa, risico's en afhankelijkheden

ICT-activaregister, risicoregister, afhankelijkheidskaarten

Art 9

Bescherming en preventie

ICT-beveiligingsbeleid, toegangscontroles, versleuteling, patchbeheer

Reeks beveiligingsbeleid, toegangscontroleprocedures, versleutelingsstandaarden

Art 10

Detectie

Mechanismen om afwijkende activiteiten en ICT-incidenten te detecteren

Monitoringstrategie, SIEM-configuratie, waarschuwingsprocedures

Art 11

Respons en herstel

ICT-bedrijfscontinuïteitsbeleid, herstelplannen bij rampen, communicatieplannen

BCP, DRP, crisiscommunicatieplan, back-upstrategie

Art 12

Beleid en procedures voor back-ups

Back-up- en herstelbeleid, testen van back-ups, afzonderlijke herstelsites

Back-upbeleid, herstelprocedures, testverslagen

Art 13

Leren en evolueren

Evaluaties na incidenten, verplichte training, bekendmaking van kwetsbaarheden

Evaluatieproces na incidenten, trainingsprogramma, lessenregister

Art 14

Communicatie

Crisiscommunicatieplannen, beleid voor verantwoorde bekendmaking

Communicatiebeleid, bekendmakingsprocedures, sjablonen voor openbare kennisgeving

Art 15

Verdere harmonisatie van instrumenten voor ICT-risicobeheer

Regelgevingstechnische normen (RTS) die details van het kader specificeren

RTS-compliance mapping, technische implementatie

Art 16

Vereenvoudigd ICT-risicobeheerkader

Proportionele vereisten voor in aanmerking komende kleine entiteiten

Vereenvoudigd kaderdocument (indien van toepassing)

Accountability van het bestuursorgaan: Artikel 5 legt de uiteindelijke verantwoordelijkheid voor het ICT-risicobeheerkader bij het bestuursorgaan. Elk beleid en elke procedure die u opstelt onder de artikelen 6-16 moet op bestuursniveau worden goedgekeurd en minstens jaarlijks worden herzien. Dit is een consistent focuspunt bij audits.

De structuur van het kader

DORA vereist dat uw ICT-risicobeheerkader een specifieke levenscyclus volgt: Identificeren, Beschermen, Detecteren, Reageren, Herstellen, Leren. Dit weerspiegelt gevestigde cybersecurity-kaders (zoals NIST CSF), maar voegt DORA-specifieke eisen toe rond governance, proportionaliteit en rapportage aan toezichthouders.

Gebruik ISMS Copilot om te begrijpen hoe uw bestaande kader aansluit op deze levenscyclus:

"Vergelijk de ICT-risicobeheercyclus van DORA (Identificeren, Beschermen, Detecteren, Reageren, Herstellen, Leren) uit de artikelen 6-16 met ons huidige [ISO 27001 / NIST CSF / EBA-richtsnoeren] kader. Identificeer voor elke fase: welke bestaande controles al voldoen aan DORA, waar DORA specifieke eisen toevoegt buiten ons huidige kader, en welke nieuwe documentatie of processen we moeten creëren."

Stap 1: Het document voor het ICT-risicobeheerkader vaststellen

Kaderstructuur en governance

Artikel 6 vereist een uitgebreid, gedocumenteerd ICT-risicobeheerkader. Dit is het hoofddocument dat alle beleidslijnen, procedures en processen in de hele levenscyclus met elkaar verbindt.

  1. Open uw DORA-werkruimte in ISMS Copilot

  2. Genereer het kaderdocument:

    "Maak een uitgebreid ICT-risicobeheerkader-document voor een [entiteitstype] dat voldoet aan DORA-artikel 6. Neem op: doel en reikwijdte, governancestuctuur (koppelend aan de verantwoordelijkheden van het bestuursorgaan in Artikel 5), ICT-risicostrategie en -doelstellingen, risicobereidheid en tolerantieniveaus, kaderonderdelen (identificatie, bescherming, detectie, respons, herstel, leren), integratie met integraal risicobeheer, rollen en verantwoordelijkheden (CISO, CRO, ICT-risicofunctie, first/second/third line), herzienings- en updateprocedures (minstens jaarlijks, en na grote incidenten conform Artikel 6(5)), en metrieken voor de effectiviteit van het kader. Verwijs naar specifieke DORA-artikelen voor elke sectie."

  3. Definieer de ICT-risicostrategie:

    "Stel een ICT-risicostrategie op voor ons [entiteitstype] zoals vereist door DORA-artikel 6(8). Neem op: strategische ICT-risicodoelstellingen afgestemd op de bedrijfsstrategie, door het bestuursorgaan goedgekeurde risicotolerantiedrempels, benadering van de ICT-risicobeoordelingsmethodologie, strategie voor toewijzing van middelen voor ICT-beveiliging, kritieke risico-indicatoren (KRI's) en rapportagefrequentie, en integratie met digitale transformatie-initiatieven. Maak het geschikt voor goedkeuring door het bestuursorgaan."

Pro tip: Uw document voor het ICT-risicobeheerkader moet dienen als de "paraplu" die verwijst naar alle onderliggende beleidslijnen en procedures. Houd het strategisch en gericht op governance, met gedetailleerde operationele procedures in afzonderlijke documenten. Deze structuur maakt jaarlijkse herzieningen en goedkeuring door het bestuursorgaan beheersbaar.

Interne ICT-auditfunctie

Artikel 6(6) vereist dat het ICT-risicobeheerkader regelmatig wordt geaudit door ICT-auditors. Gebruik ISMS Copilot om deze functie in te richten:

"Definieer de vereisten voor de interne ICT-auditfunctie conform DORA-artikel 6(6). Neem op: ICT-audit-handvest, vereisten voor onafhankelijkheid en objectiviteit, audit-universum dat alle onderdelen van het ICT-risicobeheerkader dekt, risicogebaseerde auditplanningsmethodologie, auditfrequentie (minstens jaarlijks voor kerngebieden), rapportage aan bestuursorgaan en auditcomité, en opvolgingsprocedures voor auditbevindingen. Geef een voorbeeld van een jaarlijks ICT-auditplan."

Stap 2: Identificatie en classificatie van ICT-activa (Artikel 8)

Uw ICT-activainventaris opbouwen

Artikel 8 vereist dat u alle ICT-activa, middelen en hun onderlinge verbindingen identificeert, classificeert en documenteert. Deze inventaris vormt de basis voor risicobeoordeling, incidentclassificatie en het beheer van risico's bij derden.

  1. Genereer de structuur voor de activainventaris:

    "Maak een sjabloon voor een ICT-activainventaris die voldoet aan de vereisten van DORA-artikel 8. Voeg kolommen toe voor: activa-ID, naam en beschrijving, activacategorie (hardware, software, data, netwerk, clouddienst, dienst van derden), eigenaar van het activum, ondersteunde bedrijfsfunctie, criticaliteitsclassificatie (kritiek, belangrijk, standaard), vereisten voor vertrouwelijkheid/integriteit/beschikbaarheid, fysieke en logische locatie, onderlinge verbindingen en afhankelijkheden van andere activa, ondersteunende ICT-derden, recovery time objective (RTO) en recovery point objective (RPO), laatste herzieningsdatum. Geef classificatiecriteria voor elk veld en voorbeeldinvoer voor een [entiteitstype]."

  2. SBreng ICT-afhankelijkheden in kaart:

    "Maak een methodologie voor het in kaart brengen van ICT-afhankelijkheden voor DORA-artikel 8(1). Onze kritieke bedrijfsfuncties omvatten [lijst functies]. Help ons voor elke functie te identificeren: de ICT-systemen en applicaties die deze ondersteunen, infrastructuurcomponenten (servers, netwerken, opslag), datastromen en datarepositories, ICT-diensten en aanbieders van derden, single points of failure en concentratierisico's. Geef een sjabloon om deze afhankelijkheden visueel en in tabelvorm te documenteren."

  3. Classificeer ICT-activa op basis van kritiekheid:

    "Definieer criteria voor de classificatie van ICT-activa voor DORA-compliance. Maak een classificatieschema met niveaus (Kritiek, Belangrijk, Standaard) gebaseerd op: impact op de verlening van financiële diensten bij verstoring, getriggerde wettelijke rapportageverplichtingen, aantal getroffen klanten/tegenpartijen, datagevoeligheid, hersteltijdvereisten en verbinding met andere kritieke activa. Geef beslisbomen en voorbeelden voor een [entiteitstype]."

Artikel 8(4) vereist dat financiële entiteiten alle ICT-activa identificeren die kritieke of belangrijke functies ondersteunen, inclusief hun afhankelijkheden en activa die door derden worden gehost. Deze inventaris voedt rechtstreeks uw incidentclassificatie (wat telt als ernstig), de reikwijdte van weerbaarheidstests (wat te testen) en het risicoregister voor derden (welke aanbieders kritiek zijn).

Identificatie en beoordeling van ICT-risico's

Zodra uw activainventaris compleet is, voert u een systematische risicobeoordeling uit voor de geïdentificeerde ICT-activa:

"Maak een methodologie en sjabloon voor ICT-risicobeoordeling, afgestemd op DORA-artikel 8. Beoordeel voor elk kritiek en belangrijk ICT-activum: dreigingsscenario's (cyberaanvallen, systeemstoringen, natuurrampen, menselijke fouten, fouten bij derden), kwetsbaarheden (technisch, procedureel, organisatorisch), bestaande controles en hun effectiviteit, waarschijnlijkheid van optreden (schaal 1-5 met criteria), impact op bedrijfsfuncties, klanten en naleving van regelgeving (schaal 1-5 met criteria), restrisicoscore en risiconiveau, risico-eigenaar en behandelingsbesluit (mitigeren, accepteren, overdragen, vermijden), behandelingsacties en tijdlijn. Neem integratiepunten met ons bedrijfsrisicoregister op."

Audit-verwachting: Toezichthouders verwachten dat uw ICT-risicobeoordeling alomvattend is en alle kritieke activa dekt, niet slechts een steekproef. Zorg ervoor dat elk activum dat als kritiek of belangrijk is geclassificeerd in uw inventaris, een bijbehorende risicobeoordeling heeft. Gaten hier zijn een veelvoorkomende auditbevinding.

Stap 3: Beschermings- en preventiemaatregelen (Artikel 9)

ICT-beveiligingsbeleid ontwikkelen

Artikel 9 verplicht financiële entiteiten om ICT-beveiligingsbeleid te ontwikkelen en te documenteren op het gebied van toegangsbeheer, versleuteling, netwerkbeveiliging en wijzigingsbeheer. Dit beleid moet proportioneel zijn aan uw risicoprofiel.

  1. Genereer de set ICT-beveiligingsregels:

    "Maak een uitgebreid ICT-beveiligingsbeleid voor een [entiteitstype] dat voldoet aan DORA-artikel 9. Structureer het beleid rond: governance en doelstellingen van informatiebeveiliging, toegangscontrole en identiteitsbeheer (inclusief geprivilegieerde toegang, multifactorauthenticatie en het principe van de minste privileges), netwerkbeveiliging (segmentatie, perimeterbeveiliging, inbraakpreventie), versleuteling en cryptografische controles (data in rust, in beweging, sleutelbeheer), ICT-wijzigingsbeheer (testen, goedkeuring, rollback-procedures), patchbeheer en tijdlijnen voor het oplossen van kwetsbaarheden, fysieke en omgevingsbeveiliging voor ICT-activa, vereisten voor veilige ontwikkelcyclus, endpointbeveiliging en beheer van mobiele apparaten, en maatregelen voor het voorkomen van datalekken. Verwijs voor elk gebied naar het specifieke DORA-artikel en geef implementatierichtlijnen die proportioneel zijn voor een [omvang] organisatie."

  2. Maak procedures voor toegangscontrole:

    "Ontwikkel gedetailleerde toegangscontroleprocedures voor DORA-artikel 9(4). Neem op: workflows voor het toekennen en intrekken van gebruikersrechten, ontwerp van Role-Based Access Control (RBAC), vereisten voor Privileged Access Management (PAM), procedures voor toegangsbeoordeling (frequentie, reikwijdte, documentatie), authenticatiestandaarden (MFA-vereisten, wachtwoordbeleid), beveiligingscontroles voor toegang op afstand, beheer van service-accounts, en vereisten voor logging en monitoring van toegang. Geef proceduresjablonen met stapsgewijze instructies."

  3. Stel patchbeheerprocedures vast:

    "Maak een beleid en procedure voor ICT-patchbeheer voor DORA-compliance. Neem op: frequentie van kwetsbaarheidsscans, patchclassificatie (kritiek, hoog, gemiddeld, laag) met bijbehorende hersteltijdlijnen, testprocedures vóór uitrol, noodpatchproces voor zero-day kwetsbaarheden, tracking van patches en nalevingsrapportage, uitzonderingsbeheer voor systemen die niet gepatcht kunnen worden, en integratie met uw wijzigingsbeheerproces. Geef KPI's voor patch-compliance-rapportage aan het bestuursorgaan."

Pro tip: Als u al ISO 27001 Annex A-controles heeft geïmplementeerd, gebruik dan ISMS Copilot om te identificeren welke controles overeenkomen met de vereisten van DORA-artikel 9. Vraag: "Mappen onze ISO 27001:2022 Annex A-controles op de vereisten van DORA-artikel 9. Identificeer waar onze bestaande controles volledig voldoen aan DORA, waar ze gedeeltelijk voldoen, en waar DORA aanvullende maatregelen vereist buiten ISO 27001." Dit voorkomt dubbel werk.

ICT-systeemstandaarden en weerbaarheid (Artikel 7)

Artikel 7 vereist dat ICT-systemen veerkrachtig en betrouwbaar zijn en voldoende capaciteit hebben. Gebruik ISMS Copilot om de ondersteunende standaarden te ontwikkelen:

"Maak ICT-systeemstandaarden en -vereisten voor DORA-artikel 7. Neem op: doelstellingen voor systeembetrouwbaarheid en beschikbaarheid voor kritieke functies, capaciteitsbeheerprocedures (monitoring, planning, schalen), update- en onderhoudsbeleid voor systemen, beheer van technologische veroudering, configuratiebeheerstandaarden, scheiding van omgevingen (productie, testen, ontwikkeling), en vereisten voor systemen die kritieke of belangrijke functies ondersteunen. Geef een format voor een nalevingschecklist."

Stap 4: Detectiecapaciteiten (Artikel 10)

Uw detectie- en monitoringstrategie opbouwen

Artikel 10 vereist mechanismen om afwijkende activiteiten onmiddellijk te detecteren, inclusief prestatieproblemen van het ICT-netwerk en ICT-gerelateerde incidenten. Uw detectiecapaciteiten moeten proportioneel zijn aan het belang van de bewaakte ICT-activa.

  1. Ontwerp de detectiestrategie:

    "Maak een uitgebreide ICT-detectie- en monitoringstrategie voor een [entiteitstype] die voldoet aan DORA-artikel 10. Neem op: monitoringarchitectuur (SIEM, EDR, NDR, UEBA-componenten), te monitoren gegevensbronnen (netwerkverkeer, systeemlogboeken, applicatielogboeken, authenticatiegebeurtenissen, database-activiteit, clouddienstlogboeken), detectie-use-cases geprioriteerd op risico (ongeautoriseerde toegang, data-exfiltratie, malware, DDoS, insider threats, afwijkingen bij derden), classificatie van waarschuwingen en ernstniveaus, correlatieregels en gedragsbaselines, vereisten voor 24/7 monitoringdekking, en integratie met incidentclassificatie onder DORA-artikel 17. Geef implementatieprioriteiten voor een [omvang] organisatie."

  2. Definieer procedures voor anomaliedetectie:

    "Ontwikkel operationele procedures voor de detectie van ICT-anomalieën onder DORA-artikel 10. Neem op: hoe afwijkingen worden geïdentificeerd (geautomatiseerde waarschuwingen, handmatige controle, threat intelligence feeds), proces voor eerste triage (wie controleert, doelstellingen voor responstijd, escalatiecriteria), beheer van fout-positieven, documentatie-eisen voor gedetecteerde afwijkingen, overdrachtsprocedures naar het incident respons-team, en continue verfijning van detectieregels op basis van veranderingen in het dreigingslandschap. Geef een proceduresjabloon met rollen en verantwoordelijkheden."

Sterke detectiecapaciteiten zijn direct van invloed op uw vermogen om te voldoen aan de DORA-deadline van 4 uur voor incidentmeldingen (Artikel 19). Als u incidenten niet snel kunt detecteren en classificeren, kunt u ze niet op tijd rapporteren. Zie DORA-incidentrapportage implementeren met behulp van AI voor de volledige gids voor incidentrapportage.

Stap 5: Respons- en herstelprocedures (Artikelen 11-12)

ICT-bedrijfscontinuïteitsbeheer

Artikelen 11 en 12 stellen gedetailleerde eisen aan bedrijfscontinuïteit, herstel bij rampen en back-upbeheer. Deze moeten scenario's dekken zoals ernstige ICT-storingen, cyberaanvallen en het uitvallen van externe aanbieders.

  1. Maak het ICT-bedrijfscontinuïteitsbeleid:

    "Ontwikkel een ICT-bedrijfscontinuïteitsbeleid voor een [entiteitstype] dat voldoet aan DORA-artikel 11. Neem op: beleidsdoelstellingen en reikwijdte, governance (vereiste voor goedkeuring door bestuursorgaan), methode voor Business Impact Analysis (BIA) voor ICT-diensten, continuïteitsstrategieën voor elke kritieke bedrijfsfunctie, Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO) per functie, continuïteitsplannen voor scenario's: cyberaanval, systeemstoring, uitval van datacenter, uitval van kritieke derde aanbieder, natuurramp, pandemie, communicatieplannen (intern, klanten, bevoegde autoriteiten, publiek), rollen en verantwoordelijkheden tijdens een continuïteitsgebeurtenis, activatiecriteria voor plannen en escalatieprocedures, testvereisten (frequentie, reikwijdte, soorten tests), cyclus voor onderhoud en herziening van plannen (minstens jaarlijks). Verwijs overal naar de vereisten van DORA-artikel 11."

  2. Ontwikkel herstelprocedures bij rampen:

    "Maak ICT-disaster-recoveryplannen voor ons [entiteitstype] voor [lijst kritieke systemen]. Documenteer voor elk kritiek systeem: systeembeschrijving en ondersteunde bedrijfsfuncties, herstelteam en contactgegevens, herstelprocedures (stapsgewijs), failover-mechanismen en alternatieve verwerkingslocaties, dataherstelprocedures vanaf back-ups, integriteitscontrole na herstel, communicatievereisten tijdens herstel, criteria voor het voltooien van herstel, en evaluatieprocedures na herstel. Stem RTO's en RPO's af op ons bedrijfscontinuïteitsbeleid."

  3. Stel back-upbeleid en -procedures vast (Artikel 12):

    "Maak een uitgebreid back-up- en herstelbeleid en bijbehorende procedures voor DORA-artikel 12. Neem op: reikwijdte van de back-up (alle data, configuraties, software vereist voor herstel van operaties), back-upfrequentie per dataclassificatie en RPO, back-upmethoden (volledig, incrementeel, differentieel), vereisten voor veilige opslag (geografisch gescheiden secundaire locatie conform Artikel 12(1)), versleuteling van back-upgegevens, procedures en frequentie voor back-up-integriteitstesten, hersteltestprocedures (minstens jaarlijks conform Artikel 12(2)), monitoring van en alarmering bij back-ups, documentatie- en loggingvereisten, en procedures voor back-ups van systemen die door derden worden gehost. Specificeer vereisten voor de fysiek en logisch gescheiden back-uplocatie."

Cruciale vereiste: DORA-artikel 12 vereist specifiek dat back-upsystemen worden gehost op een locatie die geografisch afgelegen is en fysiek en logisch gescheiden is van de primaire locatie. Dit is voorschrijvender dan veel bestaande standaarden. Controleer of uw huidige back-uparchitectuur aan deze specifieke eis voldoet.

Crisiscommunicatie (Artikel 14)

Artikel 14 vereist specifieke crisiscommunicatieplannen. Genereer deze met ISMS Copilot:

"Ontwikkel een ICT-crisiscommunicatieplan voor DORA-artikel 14. Neem op: communicatie-governance (wie autoriseert externe communicatie), matrix voor communicatie met belanghebbenden (bestuursorgaan, werknemers, klanten, tegenpartijen, bevoegde autoriteiten, media, publiek), communicatiesjablonen voor verschillende incidentniveaus, beleid voor verantwoorde bekendmaking van ICT-kwetsbaarheden, procedures voor afstemming met bevoegde autoriteiten tijdens incidenten, protocollen voor sociale media en public relations, aangewezen woordvoerder en vervanger, en logging en archivering van communicatie. Geef voorbeelden van berichten voor scenario's met ernstige ICT-incidenten."

Stap 6: Leren en evolueren (Artikel 13)

Evaluatieproces na incidenten

Artikel 13 vereist dat financiële entiteiten leren van ICT-incidenten, testresultaten en kwetsbaarheden. Dit creëert een cyclus van continue verbetering die uw kader in de loop van de tijd versterkt.

  1. Stel het evaluatieproces na incidenten vast:

    "Maak een procedure voor evaluatie na incidenten voor DORA-artikel 13. Neem op: triggercriteria (welke incidenten een formele evaluatie vereisen), tijdlijn voor evaluatie (binnen [X] weken na afsluiting incident), deelnemers aan de evaluatie (incident responders, risicomanagement, betrokken bedrijfssectoren, management), evaluatiesjabloon met daarin: tijdlijn van het incident, root cause analysis (technisch en organisatorisch), beoordeling van de effectiviteit van controles, gaten in detectie of respons, impact op klanten en bedrijfsfuncties, nauwkeurigheid van wettelijke rapportage, geleerde lessen en verbeteracties, tracking van acties (eigenaar, deadline, prioriteit), rapportage-eisen aan het bestuursorgaan, en integratie van lessen in updates van het ICT-risicobeheerkader. Geef een sjabloon voor een evaluatierapport na een incident."

  2. Bouw het programma voor continue verbetering:

    "Ontwerp een programma voor continue verbetering voor het ICT-risicobeheerkader onder DORA-artikel 13. Neem op: input voor de verbetercyclus (evaluaties na incidenten, testresultaten, auditbevindingen, richtlijnen van toezichthouders, threat intelligence, technologische veranderingen), governance van verbeteracties (hoe acties worden geprioriteerd, goedgekeurd en gevolgd), metrieken voor de effectiviteit van het kader (incidenttrends, detectietijden, hersteltijden, volwassenheid van controles), jaarlijks herzieningsproces van het kader voor het bestuursorgaan, en integratie met trainings- en bewustwordingsprogramma's conform Artikel 13(6). Geef een sjabloon voor het jaarlijkse herzieningsrapport van het kader."

ICT-beveiligingsbewustzijn en -training

Artikel 13(6) vereist verplichte programma's voor ICT-beveiligingsbewustzijn en training in digitale operationele weerbaarheid. Ontwikkel deze met ISMS Copilot:

"Maak een programma voor ICT-beveiligingsbewustzijn en -training voor DORA-artikel 13(6). Neem op: analyse van trainingsbehoeften per rol (bestuursorgaan, ICT-personeel, alle werknemers, externe contractanten), trainingsonderwerpen (ICT-risicobewustzijn, verplichtingen voor incidentrapportage, beveiligingsbeleid, social engineering, DORA-specifieke vereisten), leveringsmethoden en frequentie, ICT-risicotrainingscurriculum voor het bestuursorgaan (conform Artikel 5(4)), beoordeling van trainingseffectiviteit, verslaglegging en compliance-tracking, en jaarlijks trainingsplan. Maak onderscheid tussen algemeen bewustzijn en rol-specifieke technische training."

Pro tip: Maak een DORA-specifieke trainingsmodule voor uw bestuursorgaan die hun persoonlijke verplichtingen onder Artikel 5 behandelt, het ICT-risicolandschap dat relevant is voor uw entiteit, en hoe ICT-risicorapporten geïnterpreteerd moeten worden. Dit is een item met hoge zichtbaarheid bij audits en toont oprechte betrokkenheid bij governance aan.

Stap 7: Het volledige kader integreren en valideren

Kruisverwijzing van kaderonderdelen

Zodra u alle onderdelen van het kader heeft ontwikkeld, gebruikt u ISMS Copilot om de volledigheid en consistentie te valideren:

"Beoordeel de volgende onderdelen van het ICT-risicobeheerkader op volledigheid qua DORA-compliance: [lijst of upload uw kaderdocument, beleid, procedures, sjablonen]. Bevestig voor elk DORA-artikel 5-16: of aan de vereiste wordt voldaan, welk document dit behandelt, of de aanpak adequaat is voor een [entiteitstype] van onze omvang, eventuele gaten of inconsistenties tussen documenten, en eventuele vereisten uit de Regelgevingstechnische normen (RTS) onder Artikel 15 die nog niet zijn behandeld. Geef een compliance-matrix."

Voorbereiden op onderzoek door de toezichthouder

Bevoegde autoriteiten zullen uw ICT-risicobeheerkader als een primair aandachtsgebied onderzoeken. Bereid uw bewijspakket voor:

"Maak een voorbereidingschecklist voor een DORA ICT-risicobeheersonderzoek voor een [entiteitstype]. Maak voor elk artikel 5-16 een lijst van: de verwachte vragen van de toezichthouder, de bewijsstukken die klaarliggen, de belangrijkste metrieken en KPI's om te presenteren, veelvoorkomende tekortkomingen en hoe deze te vermijden, en vereisten voor het aantonen van betrokkenheid van het bestuursorgaan (trainingsverslagen, notulen van vergaderingen, bewijs van goedkeuring). Prioriteer op basis van de waarschijnlijkheid van focus tijdens het onderzoek."

Uw ICT-risicobeheerkader moet minstens jaarlijks en na grote ICT-incidenten worden herzien (Artikel 6(5)). Neem deze herzieningscyclus vanaf het begin op in uw governance-kalender en gebruik ISMS Copilot om het sjabloon voor het jaarlijkse herzieningsrapport te genereren.

Volgende stappen

U beschikt nu over een uitgebreid ICT-risicobeheerkader dat alle vereisten van DORA-artikel 6-16 dekt:

  • Kaderdocument met governancestructuur en ICT-risicostrategie

  • ICT-activainventaris met classificatie en afhankelijkheidskaart

  • Beschermings- en preventiemaatregelen met een set beveiligingsregels

  • Detectiecapaciteiten met monitoringstrategie en procedures

  • Respons- en herstelprocedures met BCP-, DRP- en back-upbeleid

  • Programma voor leren en evolueren met evaluatie na incidenten en training

Ga verder met de volgende gidsen in deze DORA-serie:

  • DORA-incidentrapportage implementeren met behulp van AI -- Bouw voort op uw detectie- en responscapaciteiten met de specifieke DORA-vereisten voor incidentclassificatie en -rapportage

  • DORA-weerbaarheidstests plannen met behulp van AI -- Ontwerp uw testprogramma om de controles en procedures te valideren die u in dit kader heeft vastgesteld

  • DORA-ICT-risico's bij derden beheren met behulp van AI -- Breid uw risicobeheerkader uit naar de externe ICT-aanbieders die in uw activainventaris zijn geïdentificeerd

Voor kant-en-klare prompts over elk aspect van ICT-risicobeheer, zie de DORA Compliance Prompt Library. Voor het volledige overzicht van de regelgeving, raadpleeg de DORA Compliance Guide for Financial Entities.

Hulp krijgen

Voor extra ondersteuning bij het bouwen van uw ICT-risicobeheerkader:

  • Vraag ISMS Copilot: Gebruik uw DORA-werkruimte voor iteratieve beleidsontwikkeling en herziening

  • Upload bestaand beleid: Ontvang een gerichte gap-analyse door huidige ICT-risicodocumentatie te uploaden voor vergelijking met DORA-vereisten

  • Koppel kaders: Map bestaande ISO 27001- of EBA-richtsnoeren op DORA-artikelen 6-16 om eerder werk te benutten

  • Valideer resultaten: Controleer door AI gegenereerde kaderdocumenten tegen de DORA-verordeningstekst en relevante RTS-normen vóór goedkeuring door het bestuursorgaan

Bouw vandaag nog uw ICT-risicobeheerkader. Open uw DORA-werkruimte op chat.ismscopilot.com en begin met uw kaderdocument. De kennis van ISMS Copilot over elk artikel van DORA zorgt ervoor dat elk beleid en elke procedure die u genereert, is afgestemd op de verwachtingen van toezichthouders en klaar is voor inspectie.

Was dit nuttig?