ISMS Copilot
DORA met AI

Hoe u DORA-incidentrapportage kunt implementeren met behulp van AI

Overzicht

U leert hoe u de DORA-rapportagevereisten voor ICT-gerelateerde incidenten onder de artikelen 17-23 kunt implementeren met behulp van AI. Deze gids behandelt de criteria voor incidentclassificatie, de verplichte rapportagetitlijnen van 4 uur, 72 uur en 1 maand, notificatiesjablonen, procedures voor oorzaakanalyse (root cause analysis) en integratie met uw bestaande incidentmanagementprocessen, inclusief specifieke ISMS Copilot-prompts voor het genereren van elk onderdeel.

Voor wie dit bedoeld is

Deze gids is voor:

  • Incident response managers en SOC-leiders die verantwoordelijk zijn voor de detectie en classificatie van ICT-incidenten

  • Compliance officers die wettelijke incidentmeldingen beheren

  • CISO's die toezicht houden op incidentmanagementprogramma's bij financiële entiteiten

  • Risicomanagers die de impact van incidenten beoordelen en herstelacties volgen

  • Consultants die DORA-incidentrapportage implementeren voor cliënten bij financiële entiteiten

Voordat u begint

U heeft het volgende nodig:

  • Een ISMS Copilot-account (gratis proefperiode beschikbaar)

  • Uw kader voor ICT-risicobeheer, opgesteld volgens Hoe u een DORA ICT-risicobeheerkader bouwt met AI

  • Uw ICT-activuminventaris met criticaliteitsclassificaties (nodig voor de impactbeoordeling van incidenten)

  • Uw bestaande incident response-procedures en eventuele huidige wettelijke rapportageprocessen

  • Inzicht in de rapportagekanalen en formaten van uw bevoegde autoriteit

  • Toegang tot uw incident response-team, SOC en compliance-afdeling

Tijdskritische verplichtingen: DORA vereist een eerste melding van belangrijke ICT-gerelateerde incidenten binnen 4 uur na classificatie. Dit is een van de kortste rapportagetitlijnen in de financiële regelgeving van de EU. Uw incidentclassificatie- en rapportageprocedures moeten vooraf zijn opgesteld, getest en begrepen door alle relevante medewerkers voordat een incident plaatsvindt.

DORA's vereisten voor incidentrapportage begrijpen

Uitsplitsing per artikel

DORA-hoofdstuk III (artikelen 17-23) stelt een alomvattend regime voor incidentbeheer en -rapportage vast. Elk artikel behandelt een specifiek aspect van het proces:

Artikel

Titel

Belangrijkste vereisten

Belangrijkste resultaten

Art 17

Beheersproces voor ICT-gerelateerde incidenten

Beheersproces voor incidenten opzetten met vroegtijdige waarschuwingsindicatoren, procedures en rollen

Documentatie incidentbeheerproces, rollenmatrix

Art 18

Classificatie van ICT-gerelateerde incidenten en cyberdreigingen

Incidenten classificeren op basis van voorgeschreven criteria (belangrijk vs. niet-belangrijk)

Classificatiematrix, ernstcriteria, beslissingsstroomdiagram

Art 19

Rapportage over belangrijke ICT-gerelateerde incidenten

Rapportage in drie fasen: initiële (4u), tussentijdse (72u), finale (1 maand)

Rapportagesjablonen, escalatieprocedures, indieningsworkflows

Art 20

Harmonisatie van de inhoud van de rapportage en van de templates

Gestandaardiseerde rapportformaten conform RTS

Ingevulde rapportagesjablonen afgestemd op RTS-formaten

Art 21

Centralisatie van de rapportage

Rapportage via een centraal EU-knooppunthub (toekomstige vereiste)

Procedures voor rapportagekanalen

Art 22

Feedback van toezichthouders

Ontvangen en opvolgen van feedback van toezichthouders

Feedbackintegratieproces

Art 23

Melding van significante cyberdreigingen

Vrijwillige melding van significante cyberdreigingen

Procedures voor dreigingsmeldingen

De rapportagetijdlijn in drie fasen

Inzicht in de rapportagetijdlijn van DORA is essentieel voor het opbouwen van uw procedures:

Rapportagefase

Deadline

Trigger

Vereiste inhoud

Belangrijkste uitdaging

Eerste melding

Binnen 4 uur na classificatie als belangrijk

Incident geclassificeerd als belangrijk

Samenvatting van het incident, onderbouwing van de classificatie, eerste impactbeoordeling, getroffen diensten

Snelheid van classificatie en indiening

Tussentijds verslag

Binnen 72 uur na eerste melding

Lopend onderzoek

Bijgewerkte impact, oorzaakanalyse (eerste bevindingen), beheersingsmaatregelen, herstelstatus

Het leveren van een zinvolle analyse terwijl het incident mogelijk nog gaande is

Eindverslag

Binnen 1 maand na de eerste melding

Oplossing van het incident

Volledige oorzaakanalyse, totale impact (financieel, operationeel, reputatie), herstelacties, geleerde lessen

Uitgebreide analyse en bewijs van herstel

De termijn van 4 uur gaat in vanaf het moment van classificatie als een belangrijk incident, niet vanaf het moment van detectie. DORA vereist echter ook snelle detectie- en classificatieprocessen. Als uw classificatie onredelijk lang duurt, kunnen toezichthouders dit beschouwen als niet-conform de geest van de rapportagevereiste.

Stap 1: Stel uw incidentbeheerproces vast (Artikel 17)

Basisproces voor incidentbeheer

Artikel 17 vereist een uitgebreid beheersproces voor ICT-gerelateerde incidenten. Dit proces moet worden geïntegreerd met uw detectiemogelijkheden (Artikel 10) en uw bredere ICT-risicobeheerkader.

  1. Open uw DORA-werkruimte in ISMS Copilot

  2. Genereer het incidentbeheerproces:

    "Maak een uitgebreid beheerproces voor ICT-gerelateerde incidenten voor een [entiteitstype] dat voldoet aan DORA-artikel 17. Vermeld: doel, bereik en procesdoelstellingen, levenscyclusfasen van incidenten (detectie, triage, classificatie, inperking, uitroeiing, herstel, post-incident review), rollen en verantwoordelijkheden (incident commander, technische lead, communicatielead, compliance/wettelijke rapportage, contactpersoon voor het leidinggevend orgaan), vroegtijdige waarschuwingsindicatoren en detectietriggers (gekoppeld aan monitoring per Artikel 10), escalatiematrix op ernst van het incident, communicatieprotocollen (interne teams, leidinggevend orgaan, klanten, bevoegde autoriteit), integratie met bestaande IT-servicemanagement (ITSM)-processen, vereisten voor documentatie en bewijsvoering, criteria voor procesactivering en beslisbomen, en prestatie-indicatoren voor het proces. Lever het proces in een formaat dat geschikt is voor stroomdiagrammen met duidelijke beslispunten."

  3. Definieer de structuur van het incident response team:

    "Definieer de structuur van het ICT incident response team (IRT) voor een [entiteitstype] met [aantal] werknemers. Vermeld: teamsamenstelling (kernteam, uitgebreid team, bereikbaarheidsdienst), selectiecriteria voor teamleiders en bevoegdheidsniveaus, activeringsprocedures (tijdens en buiten kantooruren), communicatiekanalen en tools, sjabloon voor de contactlijst van teamleden, vereisten voor training en oefeningen, en integratie met externe partijen (toezichthouders, wetshandhaving, forensische providers, externe ICT-providers). Besteed aandacht aan 24/7 dekking om aan de 4-uurs meldingsdeadline te voldoen."

Pro tip: De 4-uurs rapportageklok begint bij de classificatie, dus uw proces van triage naar classificatie is van cruciaal belang. Ontwerp dit zo dat het binnen maximaal 1-2 uur wordt voltooid, zodat er 2-3 uur overblijft voor de voorbereiding en indiening van het rapport. Vul rapportagesjablonen vooraf in met vaste organisatiegegevens om de voorbereidingstijd onder druk te verkorten.

Stap 2: Bouw uw incidentclassificatiematrix (Artikel 18)

Classificatiecriteria voor belangrijke incidenten

Artikel 18 stelt criteria vast voor het classificeren van ICT-gerelateerde incidenten als 'belangrijk'. De Regulatory Technical Standards (RTS) bieden gedetailleerde drempelwaarden voor materialiteit. Uw classificatiematrix moet deze criteria operationaliseren voor snelle besluitvorming tijdens een incident.

  1. Genereer de classificatiematrix:

    "Maak een classificatiematrix voor ICT-gerelateerde incidenten voor een [entiteitstype] die voldoet aan DORA-artikel 18. Vermeld de volgende classificatiecriteria uit de verordening en de RTS: aantal getroffen cliënten/financiële tegenpartijen (geef specifieke drempels voor ons entiteitstype), duur van het incident, geografische spreiding van het incident, gegevensverlies (vertrouwelijkheid, integriteit, beschikbaarheid), criticaliteit van de getroffen diensten (gekoppeld aan onze ICT-activumclassificatie), economische impact (directe en indirecte financiële verliezen), beoordeling van reputatie-impact. Definieer voor elk criterium: specifieke kwantitatieve drempels die een 'belangrijke' classificatie triggeren, meetmethodologie, gegevensbronnen voor snelle beoordeling, en voorbeelden. Maak een scorematrix die classificatie binnen 1-2 uur na incidentdetectie mogelijk maakt. Voeg een beslissingsstroomdiagram toe: als een enkel criterium de drempel voor 'belangrijk' bereikt, wordt het incident als belangrijk geclassificeerd."

  2. Maak het stroomdiagram voor de classificatiebeslissing:

    "Ontwerp een stapsgewijs beslissingsstroomdiagram voor incidentclassificatie voor DORA-artikel 18. Het stroomdiagram moet bruikbaar zijn voor incidentmanagers met bereikbaarheidsdienst om 3 uur 's nachts met beperkte informatie. Begin met: initiële incidentdetails (wat is er gebeurd, wanneer, wat is getroffen). Beoordeel vervolgens elk criterium voor een belangrijk incident opeenvolgend: getroffen cliënten (drempel: [X]), duur (drempel: [X] uur), impact op gegevens (bevestigd datalek), getroffen kritieke diensten (dienst op onze kritieke lijst), economische impact (geschat boven [X] EUR). Als aan een criterium wordt voldaan, classificeer dan als BELANGRIJK en trigger de 4-uurs rapportage. Indien twijfelgeval, escaleer naar [rol] voor een classificatiebesluit. Indien aan geen enkel criterium wordt voldaan, classificeer als niet-belangrijk en volg het standaard incidentproces. Geef instructies voor situaties met onvolledige informatie."

Classificatie bij onzekerheid: Tijdens de eerste uren van een incident beschikt u zelden over volledige informatie. DORA verwacht dat u classificeert op basis van beschikbare informatie en bijwerkt als de classificatie verandert. Ontwerp uw proces om conservatief te classificeren (bij twijfel, classificeer als belangrijk) en schaal later eventueel af. Te weinig rapporteren is een groter compliancerisico dan te veel rapporteren.

Registratie van niet-belangrijke incidenten

Hoewel alleen belangrijke incidenten wettelijke melding vereisen, verplicht DORA u om alle ICT-gerelateerde incidenten bij te houden en te analyseren:

"Maak een procedure voor het bijhouden en analyseren van niet-belangrijke ICT-incidenten voor DORA-compliance. Vermeld: registratievereisten voor alle ICT-incidenten (sjabloon incidentenregister), methodologie voor trendanalyse (identificeer patronen die kunnen wijzen op systemische problemen), escalatiecriteria (wanneer accumulatie van niet-belangrijke incidenten duidt op een groot probleem), periodieke rapportage aan het management (frequentie, formaat, inhoud), en integratie met het proces voor continue verbetering onder Artikel 13. Lever een sjabloon voor een kwartaalrapportage over incidenttrends."

Stap 3: Maak sjablonen voor wettelijke notificaties (Artikelen 19-20)

Sjabloon voor eerste melding (4 uur)

De eerste melding moet binnen 4 uur nadat een incident als belangrijk is geclassificeerd, worden ingediend bij uw bevoegde autoriteit. Bouw vooraf ingevulde sjablonen om deze deadline te halen:

  1. Genereer het sjabloon voor de eerste melding:

    "Maak een sjabloon voor de eerste incidentmelding voor DORA-artikel 19 (4-uurs deadline). Vul deze vooraf in met vaste organisatiegegevens. Neem velden op voor: identificatie van de rapporterende entiteit (naam, LEI, entiteitstype, bevoegde autoriteit), incident-ID en datum/tijd van classificatie, beschrijving van het incident (wat is er gebeurd, eerste tijdlijn), onderbouwing van de classificatie (aan welke belangrijke criteria is voldaan, met bewijs), getroffen diensten en eerste impactbeoordeling, aantal potentieel getroffen cliënten (schatting indien exact niet bekend), geografische reikwijdte, eerste genomen inperkingsmaatregelen, geschatte duur indien bekend, contactgegevens voor opvolging, en indicator voor grensoverschrijdende impact. Ontwerp het sjabloon zo dat het in minder dan 60 minuten kan worden ingevuld met de informatie die beschikbaar is op het moment van classificatie. Voeg toelichtingen toe voor elk veld."

  2. Genereer het sjabloon voor het tussentijds verslag (72 uur):

    "Maak een sjabloon voor een tussentijds incidentverslag voor DORA-artikel 19 (72-uurs deadline). Neem velden op voor: verwijzing naar de eerste melding, bijgewerkte tijdlijn van het incident, bijgewerkte impactbeoordeling (getroffen cliënten, financiële impact, impact op gegevens), oorzaakanalyse (voorlopige bevindingen), geïmplementeerde inperkings- en matigingsmaatregelen, herstelstatus en geschatte tijdlijn, eventuele wijzigingen in incidentclassificatie, genomen communicatieacties (cliënten, tegenpartijen, publiek), betrokkenheid van externe partijen (politie, forensische onderzoekers), bijgewerkte risicobeoordeling, en eventuele gevraagde acties van de toezichthouder. Geef advies over het verstrekken van een zinvolle oorzaakanalyse, zelfs als het onderzoek nog loopt."

  3. Genereer het sjabloon voor het eindverslag (1 maand):

    "Maak een sjabloon voor een eindverslag over een incident voor DORA-artikel 19 (termijn van 1 maand). Neem uitgebreide secties op voor: volledige tijdlijn van het incident (van detectie tot oplossing), bevestigde oorzaakanalyse (technisch en organisatorisch), totale impactbeoordeling (gekwantificeerde financiële verliezen, getroffen cliënten, verstoorde diensten, gecompromitteerde gegevens), volledige beschrijving van inperkings-, uitroeiings- en herstelacties, effectiviteitsbeoordeling van bestaande controles, herstelplan (acties, eigenaren, deadlines, status), geleerde lessen en verbeteringen aan het kader, notificatie van en besluitvorming door het leidinggevend orgaan, naleving van de wettelijke rapportagetijdlijn, en kruisverwijzingen naar eventuele gerelateerde incidenten. Dit verslag moet geschikt zijn voor toetsing door de toezichthouder en dienen als input voor de evaluatie na het incident conform Artikel 13."

Pro tip: Vul het gedeelte voor organisatie-identificatie van alle drie de sjablonen vooraf in met uw vaste gegevens (entiteitsnaam, LEI, details van de bevoegde autoriteit, primaire contactpersoon). Bewaar deze vooraf ingevulde sjablonen op een toegankelijke locatie voor uw incident response team. Tijdens een echt incident is elke minuut die bespaard wordt op administratieve velden een minuut die gewonnen wordt voor inhoudelijke analyse.

Indieningsprocedures

Stel duidelijke procedures vast voor het indienen van rapporten bij uw bevoegde autoriteit:

"Maak een procedure voor het indienen van incidentrapporten voor wettelijke meldingen onder DORA. Vermeld: identificatie van onze bevoegde autoriteit en hun rapportagekanaal (portaal, e-mail, API), autorisatie voor indiening (wie mag indiening goedkeuren en op welk tijdstip van de dag), checklist voor kwaliteitscontrole vóór indiening (volledigheid, juistheid, consistentie met eerdere rapporten), bevestiging en tracking van indiening, procedures voor indiening buiten kantooruren (voor de 4-uurs deadline), back-up indieningsmethoden als het primaire kanaal onbeschikbaar is, vereisten voor archivering (kopieën van alle indieningen met tijdstempels), en procedures voor het afhandelen van feedback van toezichthouders onder Artikel 22. Behandel het scenario waarin het incident zelf ons vermogen om rapporten in te dienen beïnvloedt."

Stap 4: Bouw escalatie- en communicatieprocedures

Interne escalatiematrix

Effectieve escalatie is essentieel om de strakke deadlines van DORA te halen. Definieer duidelijke escalatiepaden voor elk scenario:

  1. Genereer de escalatiematrix:

    "Maak een escalatiematrix voor ICT-incidenten voor een [entiteitstype] die de DORA-rapportagevereisten dekt. Definieer escalatieniveaus: Niveau 1 (SOC/IT Operations): initiële detectie en triage, Niveau 2 (Incident Response Team): onderzoek en inperking, Niveau 3 (CISO/CRO): besluit over classificatie als belangrijk incident, Niveau 4 (Leidinggevend orgaan): notificatie van belangrijke incidenten, goedkeuring wettelijke communicatie. Specificeer per niveau: escalatiecriteria (wat triggert escalatie naar het volgende niveau), escalatietijdlijn (maximale tijd op elk niveau vóór escalatie), meldingsmethode en contactgegevens, te verstrekken informatie bij escalatie, en beslissingsbevoegdheid op elk niveau. Neem escalatieprocedures buiten kantooruren en back-upcontacten op. Ontwerp dit zo dat classificatie binnen 2 uur na detectie kan plaatsvinden."

  2. Maak procedures voor klantnotificatie:

    "Ontwikkel procedures voor klantnotificatie voor belangrijke ICT-incidenten onder DORA. Vermeld: criteria voor wanneer klanten moeten worden geïnformeerd, timing van notificatie ten opzichte van wettelijke rapportage, inhoud van de notificatie (wat te onthullen, wat achter te houden tijdens onderzoek), communicatiekanalen (e-mail, portaal, telefoon voor kritieke klanten), sjablonen voor klantnotificaties voor veelvoorkomende incidenttypen (service-uitval, datalek, systeemverslechtering), frequentie van vervolgcommunicatie en archiveringsvereisten. Behandel scenario's waarin het incident ons vermogen om met klanten te communiceren beïnvloedt."

DORA-artikel 19(3) vereist dat financiële entiteiten hun cliënten informeren over belangrijke ICT-gerelateerde incidenten die hun financiële belangen schaden. U moet ook communiceren over de genomen corrigerende maatregelen. Bouw deze klantcommunicatie vanaf het begin in uw incident response-proces in.

Notificatie leidinggevend orgaan

Artikel 5 vereist dat het leidinggevend orgaan wordt geïnformeerd over ICT-incidenten. Definieer hoe dit gebeurt tijdens incidenten:

"Maak een notificatieprocedure voor het leidinggevend orgaan voor DORA-artikel 5-compliance. Vermeld: triggers voor notificatie (alle belangrijke incidenten, significante niet-belangrijke incidenten), tijdlijn voor notificatie (binnen [X] uur na classificatie), formaat van de notificatie (gestructureerd briefing-sjabloon), inhoud (samenvatting incident, impactbeoordeling, responsacties, status wettelijke rapportage, impact op cliënten, media-risico), beslispunten die inbreng van het leidinggevend orgaan vereisen (publieke communicatie, schadevergoeding cliënten, contact met toezichthouder), frequentie van vervolgrapportage tijdens lopende incidenten, en presentatie van de briefing na het incident en de geleerde lessen. Lever het briefing-sjabloon voor het leidinggevend orgaan over incidenten."

Stap 5: Integreer met bestaand incidentbeheer

DORA-vereisten mappen op uw huidige processen

De meeste financiële entiteiten hebben al incidentbeheerprocessen. Gebruik ISMS Copilot om DORA-vereisten in uw bestaande kader te integreren in plaats van parallelle processen te creëren:

"We gebruiken momenteel [ITIL/NIST/eigen] incidentbeheerprocessen met [beschrijf huidige tools: ServiceNow, Jira, PagerDuty, etc.]. Map de vereisten van DORA-artikel 17-23 op ons bestaande proces. Identificeer: waar ons huidige proces al voldoet aan DORA (detectie, triage, inperking, herstel), waar we DORA-specifieke stappen moeten toevoegen (classificatie belangrijke incidenten, wettelijke rapportage, klantnotificatie), benodigde procesaanpassingen (verkorting tijdlijn, verbetering escalatie), benodigde aanpassingen aan tools (automatisering classificatie, rapportgeneratie, tracking van indiening) en benodigde documentatie-updates. Lever een gap-analyse met specifieke herstelacties."

Automatisering van classificatie en rapportage

Gezien de termijn van 4 uur is het verstandig om automatiseringsmogelijkheden te overwegen:

"Identificeer mogelijkheden om DORA-incidentclassificatie en -rapportage te automatiseren voor een [entiteitstype]. Overweeg: geautomatiseerde verzameling van classificatiegegevens (aantal getroffen cliënten uit monitoringsystemen, metrics voor servicebeschikbaarheid, impact op transactievolume), geautomatiseerde voorinvulling van rapportagesjablonen vanuit incidentbeheertools, geautomatiseerde berekening van drempelwaarden voor belangrijke incidentcriteria, workflow-automatisering voor escalatie en notificaties, integratie tussen SIEM/incidentplatform en rapportageworkflow, geautomatiseerde tracking van deadlines en herinneringen, en geautomatiseerde compilatie van incidentmetrics voor trendanalyse. Geef implementatie-aanbevelingen, geprioriteerd op impact op de 4-uurs deadline."

Pro tip: Zelfs als u de classificatie niet volledig kunt automatiseren, automatiseer dan de gegevensverzameling die de classificatiebeslissingen onderbouwt. Als uw systemen automatisch kunnen rapporteren hoeveel klanten er getroffen zijn, welke diensten verslechterd zijn en voor hoe lang, wordt uw classificatiebesluit veel sneller en beter verdedigbaar tegenover toezichthouders.

Stap 6: Procedures voor oorzaakanalyse (Root Cause Analysis)

Gestructureerde RCA-methodologie

DORA vereist een oorzaakanalyse (RCA) als onderdeel van zowel het tussentijdse (72 uur) als het eindverslag (1 maand). Stel een gestandaardiseerde methodologie vast:

  1. Genereer de RCA-methodologie:

    "Maak een methodologie voor oorzaakanalyse (RCA) voor DORA ICT-incidentrapportage. Vermeld: criteria en timing voor het starten van een RCA (start binnen 24 uur na classificatie als belangrijk incident), onderzoeksmethoden (5 Whys, visgraat/Ishikawa, foutenboomanalyse, tijdlijnanalyse), procedures voor bewijsverzameling en -bewaring, technische onderzoekstappen (log-analyse, forensisch onderzoek, systeemonderzoek), organisatorische onderzoekstappen (procesreview, beleidsnaleving, adequaatheid van training), categorieën van oorzaken (technische fout, menselijke fout, proceshiaat, fout van derde partij, externe aanval, ontwerpfout), voorlopig RCA-proces voor het tussentijdse rapport van 72 uur (gestructureerd, zelfs met onvolledige informatie), uitgebreid RCA-proces voor het eindverslag na 1 maand, kwaliteitscontrole van RCA-bevindingen vóór indiening, en koppeling tussen de oorzaken en herstelacties. Lever een RCA-rapportagesjabloon met voorbeelden."

  2. Maak procedures voor het volgen van herstelacties:

    "Ontwikkel een procedure voor het volgen van herstelacties na incidenten voor DORA-compliance. Vermeld: hoe herstelacties worden geïdentificeerd uit RCA-bevindingen, methodologie voor prioritering van acties (kritiek, hoog, medium op basis van risico), toewijzing van acties (eigenaar, deadline, middelen), voortgangsbewaking en rapportage, toezicht door het leidinggevend orgaan op de voortgang van het herstel, verificatie van de effectiviteit van het herstel, afsluitcriteria voor herstelacties en integratie met het ICT-risicoregister (bijwerken van risicobeoordelingen op basis van incidentbevindingen). Lever een sjabloon voor een register voor herstelacties."

Stap 7: Notificatie van cyberdreigingen (Artikel 23)

Vrijwillige rapportage van dreigingen

Artikel 23 moedigt financiële entiteiten aan om bevoegde autoriteiten op de hoogte te stellen van significante cyberdreigingen, zelfs als deze nog niet tot incidenten hebben geleid. Stel procedures vast voor deze vrijwillige rapportage:

"Maak een notificatieprocedure voor significante cyberdreigingen voor DORA-artikel 23. Vermeld: criteria voor wat een 'significante cyberdreiging' vormt die vrijwillige melding rechtvaardigt (gerichte aanvallen gedetecteerd maar ingeperkt, inlichtingen over ophanden zijnde dreigingen, zero-day kwetsbaarheden in kritieke systemen, dreigingspatronen in de sector), intern beoordelings- en besluitvormingsproces (wie beslist of er wordt gemeld), notificatiesjabloon voor cyberdreigingen (anders dan incidentrapporten), verwachtingen qua timing (niet verplicht, maar moet prompt gebeuren), vertrouwelijkheidsoverwegingen en beperkingen op het delen van informatie, en voordelen van vrijwillige rapportage (welwillendheid van de toezichthouder, bescherming van de hele sector, delen van inlichtingen). Geef beslissingscriteria en een notificatiesjabloon."

Stap 8: Test uw capaciteit voor incidentrapportage

Tabletop-oefeningen en simulaties

Uw incidentclassificatie- en rapportageprocedures moeten worden getest voordat er een echt incident plaatsvindt. Gebruik ISMS Copilot om realistische oefeningen te ontwerpen:

  1. Ontwerp scenario's voor tabletop-oefeningen:

    "Ontwerp drie scenario's voor tabletop-oefeningen om onze DORA-incidentclassificatie- en rapportageprocedures te testen. Elk scenario moet: realistisch zijn voor een [entiteitstype], zich in meerdere fasen ontvouwen (initiële detectie, escalatie, inperking, rapportage), het classificatiebesluit voor een belangrijk incident testen, de 4-uurs initiële notificatieprocedure van begin tot eind testen, complicaties bevatten (onvolledige informatie, detectie buiten kantooruren, meerdere gelijktijdige problemen), triggers voor klantcommunicatie testen en notificatie van het leidinggevend orgaan vereisen. Scenario's moeten betrekking hebben op: (1) ransomware-aanval op kritieke bank-/betalingssystemen, (2) uitval van een cloudprovider die meerdere diensten treft, (3) datalek ontdekt via een externe melding. Lever voor elk scenario een gids voor de facilitator met een tijdlijn van gebeurtenissen (injects), verwachte acties van deelnemers en evaluatiecriteria."

  2. Maak een evaluatiekader voor oefeningen:

    "Maak een evaluatiekader voor DORA-incidentrapportage tabletop-oefeningen. Evalueer: tijd van detectie naar classificatie (doel onder 2 uur), tijd van classificatie naar indiening van de eerste melding (doel onder 4 uur), nauwkeurigheid van het classificatiebesluit, volledigheid van de eerste melding, kwaliteit van escalatie en communicatie, effectiviteit van de notificatie aan het leidinggevend orgaan, geschiktheid van de klantcommunicatie, kwaliteit van documentatie en teamcoördinatie. Lever een beoordelingsmodel (scoring rubric) en een sjabloon voor een verslag na de oefening."

Verwachting van de audit: Bevoegde autoriteiten verwachten bewijs dat uw incidentrapportageprocedures zijn getest. Voer minimaal jaarlijks tabletop-oefeningen uit (vaker in het eerste jaar van implementatie) en documenteer resultaten, geleerde lessen en doorgevoerde verbeteringen. Dit bewijsmateriaal toont toezichthouders aan dat uw capaciteit om binnen 4 uur te rapporteren reëel is, niet alleen theoretisch.

Volgende stappen

U beschikt nu over een uitgebreide DORA-incidentrapportagecapaciteit:

  • Incidentbeheerproces geïntegreerd met detectiemogelijkheden

  • Classificatiematrix met kwantitatieve drempels voor belangrijke incidenten

  • Rapportagesjablonen in drie fasen (4 uur, 72 uur, 1 maand)

  • Escalatiematrix met duidelijke beslissingsbevoegdheden en tijdlijnen

  • Methodologie voor oorzaakanalyse met tracking van herstelacties

  • Procedures voor melding van cyberdreigingen

  • Geteste procedures via tabletop-oefeningen

Ga verder met de volgende gidsen in deze DORA-reeks:

  • Hoe u DORA-resistentietesten plant met behulp van AI -- Ontwerp uw testprogramma, inclusief scenario's die uw incidentrespons- en rapportagemogelijkheden valideren

  • Hoe u DORA ICT-risico's van derden beheert met behulp van AI -- Zorg ervoor dat uw externe providers uw incidentrapportageverplichtingen kunnen ondersteunen met adequate notificatieclausules en SLA's

Voor de basisconfiguratie, zie Hoe u aan de slag gaat met DORA-implementatie met AI. Voor het ICT-risicokader dat de basis vormt voor incidentbeheer, zie Hoe u een DORA ICT-risicobeheerkader bouwt met AI.

Voor kant-en-klare prompts, zie de DORA Compliance Prompt Library. Raadpleeg voor het volledige wettelijke overzicht de DORA Compliance Guide for Financial Entities.

Hulp zoeken

Voor aanvullende ondersteuning bij de implementatie van DORA-incidentrapportage:

  • Vraag ISMS Copilot: Gebruik uw DORA-werkruimte om scenariospecifieke classificatierichtlijnen te genereren en rapportagesjablonen aan te passen voor uw entiteitstype

  • Bestaande procedures uploaden: Ontvang een gerichte gap-analyse door uw huidige incident response-plan te uploaden voor vergelijking met DORA-artikelen 17-23

  • Rapportage simuleren: Gebruik ISMS Copilot om fictieve incidentscenario's te doorlopen en te oefenen met het invullen van notificatiesjablonen onder tijdsdruk

  • Resultaten valideren: Controleer alle classificatiecriteria en rapportagesjablonen tegen de DORA-verordeningstekst en relevante Regulatory Technical Standards voordat u ze formeel vaststelt

Bouw vandaag nog uw incidentrapportagecapaciteit op. Open uw DORA-werkruimte op chat.ismscopilot.com en begin met uw classificatiematrix. Wanneer het volgende ICT-incident toeslaat, bent u klaar om te classificeren, te rapporteren en te reageren binnen de strikte termijnen van DORA.

Was dit nuttig?