Belgische bedrijven en de Europese regelgeving DORA en CRA

DORA richt zich specifiek op de financiële sector en stelt eisen aan de digitale weerbaarheid van banken, verzekeraars en andere financiële instellingen, evenals hun ICT-dienstverleners. Het doel is om ervoor te zorgen dat deze sector veerkrachtig blijft in het licht van digitale dreigingen. 

“DORA introduceert onder meer een end-to-end-aanpak die organisaties verplicht om strikte processen te hanteren voor het detecteren, melden en aanpakken van IT-incidenten”, zegt Gorik Van den Bergh, Cybersecurity Compliance Expert bij Vandelanotte. “Dit gebeurt volgens gestandaardiseerde richtlijnen en templates, waardoor er minder flexibiliteit is, maar wel meer uniformiteit en duidelijkheid. Daarnaast wordt het belangrijk om IT-leveranciers actief te monitoren. Het is niet langer voldoende om diensten uit te besteden, risico’s moeten expliciet worden geëvalueerd en contracten worden herzien.” 

Voor kleinere financiële instellingen is de implementatie van DORA een uitdaging door beperkte middelen en expertise. Van den Bergh: “DORA biedt wel enige verlichting, zoals een risicogebaseerde aanpak en uitzonderingen voor micro-ondernemingen. Grote instellingen zijn doorgaans verder gevorderd met de naleving van DORA, terwijl kleinere spelers meer ondersteuning nodig hebben. DORA is meer dan een reactieve regelgeving; het bevordert een proactieve aanpak om digitale weerbaarheid op te bouwen.
Dit komt niet alleen de financiële sector ten goede, maar versterkt ook het vertrouwen in het bredere digitale ecosysteem.” 

Wat is CRA? 

De Cyber Resilience Act (CRA) heeft een bredere reikwijdte en richt zich op het waarborgen van de veiligheid van producten met digitale componenten. “Dit omvat zowel consumentgerichte als zakelijke producten, zoals software en hardware”, aldus Katrien Eggers van het Centrum voor Cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België. “Een belangrijke pijler van de CRA is het verplicht stellen van de melding van kwetsbaarheden die actief worden geëxploiteerd. Dit helpt om sneller in te grijpen bij potentiële dreigingen en verplicht fabrikanten om beveiliging van de producten aan te passen aan deze dreigingen.” De CRA maakt ook deel uit van een bredere visie om van Europa een minder kwetsbare regio te maken op het gebied van cybersecurity. 

Synergie tussen DORA en CRA 

Hoewel DORA en CRA verschillende sectoren en domeinen adresseren, vullen ze elkaar goed aan. DORA zorgt ervoor dat financiële instellingen en hun ICT-dienstverleners een robuust risicobeheer implementeren, terwijl CRA zich richt op het verbeteren van de veiligheid van de producten die door deze en andere sectoren worden gebruikt. Katrien Eggers: “Samen creëren deze verordeningen een veiliger digitaal ecosysteem dat niet alleen individuele organisaties, maar ook consumenten beschermt.” 

De nadruk van CRA op veilige producten ondersteunt de doelstellingen van DORA, aangezien financiële instellingen afhankelijk zijn van betrouwbare technologie. Omgekeerd stelt DORA eisen aan het gebruik en beheer van technologie, wat betekent dat CRA-compliance voor veel leveranciers een must wordt. Deze ketenbenadering waarborgt dat cybersecurity niet stopt bij één organisatie of product, maar de hele toeleveringsketen omvat. 

Uitdagingen en kansen 

“Beide richtlijnen brengen aanzienlijke verplichtingen met zich mee, zoals het herzien van contracten, het opzetten van registraties en het verbeteren van processen”, weet Gorik Van den Bergh. “Dit vraagt tijd, middelen en expertise. Toch biedt de uniformiteit van deze regelgeving ook voordelen: het vergemakkelijkt samenwerking, versterkt het vertrouwen in digitale producten en diensten, en vermindert fragmentatie binnen Europa.” 

De snelle technologische vooruitgang, zoals AI en blockchain, zorgt ervoor dat regelgeving altijd een inhaalslag moet maken. Toch leggen DORA en CRA een stevige basis voor een toekomst waarin Europa beter bestand is tegen cyberdreigingen.