Vervangt DORA NIS2 voor financiële instellingen of zijn ze complementair?

NIS2 en DORA zijn afzonderlijke verordeningen met overlappende werkingssfeer voor sommige financiële instellingen. DORA is lex specialis voor de financiële sector: waar DORA en NIS2 beide van toepassing zijn, gelden DORA-vereisten doorgaans bij voorrang voor ICT-risicobeheer en testverplichtingen. Financiële entiteiten moeten nog steeds voldoen aan NIS2-vereisten die DORA niet specifiek adresseert. We mappen onze testscope gelijktijdig op beide frameworks.

Wat is het verschil tussen DORA ICT-testen en standaard pentesten?

DORA ICT-testen (Artikelen 24-27) gaat verder dan standaard penetratietesten. Het vereist testen op basis van gedocumenteerde dreigingsintelligentie, met gedefinieerde scope, methodologie en bewijs dat gekoppeld is aan uw ICT-risicobeheerskader. Voor significante instellingen vereist TLPT een goedgekeurde dreigingsintelligentie aanbieder. Standaard pentests voldoen niet aan deze vereisten zonder de DORA-specifieke onderbouwing en documentatie.

Voor welke financiële instellingen geldt DORA?

DORA is van toepassing op kredietinstellingen, betalingsinstellingen, e-geldinstellingen, beleggingsondernemingen, verzekerings- en herverzekeringsondernemingen, aanbieders van crypto activadiensten en hun kritieke ICT-derden aanbieders. De volledige lijst is gedefinieerd in DORA Artikel 2. Significante instellingen binnen deze categorieën staan voor aanvullende vereisten waaronder TLPT om de drie jaar.

Hoe pakken jullie ICT-risicobeoordeling van derde partijen aan?

We voeren technische beveiligingsbeoordelingen uit van kritieke ICT-leveranciersomgevingen en integratiepunten, waarbij we API-beveiliging, authenticatiemechanismen, gegevensbeheer en toegangscontroles beoordelen. Dit levert een gestructureerd risicorapport op dat u kunt gebruiken om te voldoen aan de DORA Artikel 28-toezichtsvereisten voor kritieke derdenaanbieders.

Per Sector

Financiële Dienstverlening Beveiliging

Banken, verzekeraars en financiële instellingen opereren onder strenge regelgeving waaronder DORA en PCI-DSS, en zijn een primair doelwit voor geavanceerde fraude en supply chain-aanvallen. Beveiliging en compliance voor de financiële sector, afgestemd op wat toezichthouders vandaag verwachten.

Assessment Aanvragen Compliance Testen

Compliance Frameworks

DORA (Digital Operational Resilience Act)

PCI-DSS

NIS2-richtlijn

DNB-richtlijnen

EBA/ESMA-vereisten

Uitdagingen in de Financiële Sector

DORA-compliancevereisten (van kracht per 17 januari 2025)

PCI-DSS voor betalingsverwerking

Geavanceerde financiële fraudedreigingen

Derde partij- en supply chain-risico's

Realtime transactiebeveiliging

Rapportagevereisten voor toezichthouders

DORA: van kracht per januari 2025

DORA is van toepassing op alle financiële entiteiten die in de EU actief zijn per 17 januari 2025. Het is huidige wet, geen toekomstige verplichting. De vier pijlers hieronder mappen direct op Sectricity-diensten.

ICT-risicobeheer (Artikelen 5-16)

DORA Artikelen 5 tot 16 vereisen dat financiële entiteiten een uitgebreid ICT-risicobeheerskader implementeren met gedocumenteerde beleidslijnen, regelmatige beveiligingstests en kwetsbaarheidsbeheer. Onze penetratietests valideren direct of uw ICT-risicocontroles in de praktijk werken.

ICT-incidentmelding (Artikelen 17-23)

DORA Artikelen 17 tot 23 vereisen classificatie en melding van significante ICT-gerelateerde incidenten aan bevoegde autoriteiten binnen vastgestelde tijdsbestekken. Een geteste omgeving met goede monitoring vermindert zowel de kans als de detectietijd van significante incidenten.

Digitale weerbaarheidstest (Artikelen 24-27)

DORA Artikel 24 vereist regelmatige ICT-beveiligingstests voor alle in-scope financiële entiteiten. Artikel 26 vereist Threat-Led Penetration Testing (TLPT) minimaal om de drie jaar voor significante instellingen. Wij leveren DORA-conforme testrapporten die aan deze verplichtingen voldoen.

ICT-risico van derden (Artikelen 28-44)

DORA Artikelen 28 tot 44 vereisen dat financiële entiteiten gedocumenteerd toezicht houden op alle kritieke ICT-derdenaanbieders. We beoordelen het beveiligingspostuur van uw kritieke leveranciers en testen de integratiepunten tussen hun systemen en die van u.

Financiële Beveiligingsdiensten

Financiële Penetratietest

Beveiligingstesten voor bankapplicaties, handelsplatforms en betaalsystemen. We testen authenticatie, autorisatie, transactielogica en API-beveiliging onder omstandigheden die echt aanvallersgedrag weerspiegelen.

Red Team Operaties

Aanvalssimulatie die uw fraudedetectie en beveiligingsoperaties test. Red Team oefeningen testen of uw controles een realistische aanval over de volledige kill chain detecteren en stoppen.

DORA Compliance Testen

Digitale operationele weerbaarheidsassessment en compliance testen afgestemd op DORA vereisten. Levert een gestructureerd bewijspakket voor uw toezichthouder en interne auditfunctie.

Risicobeoordeling Derde Partijen

ICT-risicobeoordeling van derde partijen en leverancier beveiligingsevaluatie. We beoordelen het aanvalsoppervlak en beveiligingspostuur van uw kritieke ICT-aanbieders onder DORA Artikel 28-vereisten.

Veelgestelde vragen

Beveilig uw financiële operaties

Krijg een beveiligingsbeoordeling afgestemd op DORA en vereisten van de financiële sector.