De boodschap van Van Vessem, die “lang geleden” zijn loopbaan als informatiebeveiliger is begonnen, is helder. Het duurt nog een half jaar voordat alle details van de Digital Operational Resilience Act-verordening duidelijk zijn, maar nu op je handen gaan zitten, is volgens hem geen best advies. “Ik zit daar, eerlijk gezegd, zelf ook een beetje dubbel in. Iedereen roept om het hardst dat verzekeraars nu moeten starten, omdat ze het anders niet redden. Juristen, advocaten- en advieskantoren, zelfs DNB roept op om aan de slag te gaan. En natuurlijk kun je nu al het nodige doen. Dat moet je ook zeker doen, maar dan wel zo gestructureerd en flexibel mogelijk. Je moet immers oppassen dat je nu op deelterreinen te vroeg acteert en later blijkt dat je een andere afslag had moeten nemen.”

Op 17 januari 2024 worden er meer details van DORA duidelijk in de eerste batch met RTS-en, terwijl er van verzekeraars wordt verwacht dat ze precies een jaar daarna compliant zijn. Wordt dat een race tegen de klok?

“Dat is moeilijk te zeggen. In januari 2023 is de level 1 tekst al gepubliceerd. Dat is weliswaar hoog over, omdat concrete details pas in level 2 volgen. Maar de meeste verzekeraars zijn toen of eerder al begonnen met hun voorbereidingen. Bovendien zijn verzekeraars wel wat gewend. DORA staat op hetzelfde niveau als bijvoorbeeld de privacywetgeving. Bij de AVG was, vergelijkbaar met DORA, ook sprake van consensus-wetgeving. Dat vind ik trouwens wel lastig aan Europese wetgeving. Er wordt heel lang over het voortraject gedaan en vervolgens moet de markt die wetgeving snel praktisch uitvoerbaar maken.”

Maak je je zorgen over die korte voorbereidingstijd?

“Zorgen is een groot woord. De meeste verzekeraars hebben allang voorgesorteerd en zijn redelijk tot goed voorbereid. Ik maak me wel zorgen over het detailniveau van DORA. Normaal gesproken is wetgeving vooral principle-based, maar in DORA zitten juist veel rule-based regels. Gij zult dit en gij moet dat. Het is niet voor niks dat er heel veel commentaar is gekomen op die eerste level 2 teksten. Ik sprak pas iemand van EIOPA. Hij wist me te vertellen dat er honderden reacties, vragen en opmerkingen zijn binnengekomen. Dat zijn ze nu allemaal aan het verwerken.”

Toch is er geen ontkomen aan. Of je nou groot, klein, dik of dun bent als bedrijf. Je zult wel moeten toch?

“Zeker. Ook op dat punt staat DORA op hetzelfde niveau als de privacywetgeving. Het is echt een moetje. Net zoals er wel meer Europese wetgeving op de sector afkomt. Ze zal daarmee moeten dealen, maar ik vind DORA op dit moment wel erg gedetailleerd. Europa wil graag harmoniseren en grip hebben op ieder denkbaar risico, maar je kunt niet altijd alles met controlemaatregelen afdekken.”

Slaat DORA door?

“Leuke beeldspraak. De geest van de wet is prima. Als er iets gebeurt, is het belangrijk dat een bedrijf weerbaar is en kan blijven bestaan. Helemaal als het gaat om de big en iets kleinere techbedrijven waar veel sectoren afhankelijk van zijn. En ik ben de eerste om toe te geven dat veel bedrijven vaak genoeg doen op preventie- en detectieniveau, maar nog te weinig aan recovery. Als je bijvoorbeeld geen goede back-up hebt, ben je na een serieuze aanval echt out of business. Je merkt het al aan mijn antwoord. De geest van de wet is goed, de uitwerking misschien wat minder. Maar goed, wij kunnen van alles vinden van die uitwerking. Dat is de Europese politiek. We zullen het er mee moeten doen. In de komende jaren zal de jurisprudentie zich moeten uitkristalliseren. Dan kan Europa DORA ook door-ontwikkelen.”

Wat vind jij zelf van DORA?

“Ik vind de praktische haalbaarheid en de implementatietijd wel spannend. DORA is veelomvattend en bestaat uit vijf pijlers. Het wordt een uitdaging om daar (aantoonbaar) aan te voldoen. Dat hangt ook af van de mate van de huidige volwassenheid van een verzekeraar. Als de basis op orde is, kan de focus snel worden gericht op de specifieke DORA-bepalingen.”

Kunnen verzekeraars elkaar daarbij helpen? Is DORA met andere woorden geen concurrentieel onderwerp?

“Om met dat laatste te beginnen: nee. DORA is geen concurrentieel item. Integendeel. In een van de vijf pijlers staat namelijk dat je als sector kennis en ervaringen op moet bouwen. Wij doen dat onder andere via de I-ISAC en i-CERT. De slechteriken kun je alleen buitenhouden als je goed met elkaar samenwerkt. Die hacker maakt het echt niet uit bij wie hij binnenkomt. Via de i-CERT probeert de sector elkaar daarom snel te waarschuwen. Dat is het operationele niveau waarop de Security Operations Centres met elkaar samenwerken. Daarboven zit de I-ISAC, op een meer strategisch en tactisch niveau. Daar komen vragen langs als: wat ziet de sector voor security-ontwikkelingen? Kunnen we daar een strategie voor bedenken? Hoe ontwikkelt het toezicht zich? Op welke manier houden we de leveranciers het beste in de gaten? Kunnen we standaard security-producten ontwikkelen? Het is leuk, maar vooral ook zinnig om met elkaar van gedachten te wisselen. Verzekeraars kunnen veel van elkaar leren. Hoe kunnen we de best practices met elkaar delen? Maar ook: wat is een kritieke keten? Als wij daar, met de hele sector, overeenstemming over hebben, dan helpt dat enorm.”

Weet jij hoe het staat met de cyberweerbaarheid van verzekeraars?

“Dat is een lastige vraag. De weerbaarheid hangt ook af van de basishygiëne en de volwassenheid van de cyberbeveiliging. In zijn algemeenheid denk ik dat Nederlandse verzekeraars er goed voor staan. De DNB Good Practices zijn aardig ingebed bij veel verzekeraars. Zij zijn immers al vrij snel begonnen met de uitvoering van pentesten, red team-testing en de TIBER-testen van DNB. Het is ook niet voor niets dat de TIBER-testen van DNB model hebben gestaan voor DORA. Als een verzekeraar dat soort testen nu al laat doen, ligt hij aardig op koers. Ik maak me meer zorgen over de hoeveelheid data en informatie die Europa straks wil hebben. Verzekeraars moeten die data straks uit allerlei verschillende bronsystemen boven water zien te toveren. En dan heb ik het voor het gemak nog even niet over de vraag hoe je die data op een uniforme wijze naar Europa krijgt? Ik vraag me oprecht af wat Brussel met al die data gaat doen. Het lijkt erop of Europa ieder concentratierisico in kaart wil brengen. Het risico dat grote techbedrijven als Microsoft en Amazon omvallen, zal niet zo groot zijn. Maar stel dat een kleinere ICT-partij omvalt die zo'n dertig verzekeraars, banken en pensioenfondsen bedient. Dan is er een serieus probleem. In die zin snap ik de Europese informatiehonger wel. Het is begrijpelijk, maar slaat ook potentieel door op dit moment. Je kunt niet altijd alle continuïteitsrisico's bij leveranciers voor de volle honderd procent afdekken. De focus moet vooral liggen op je eigen kritieke en belangrijke functies, ketens en processen.”

Jij hebt je ook wel eens uitgelaten over de zogenoemde DORA-gekte. Daarmee doelde je op de hoeveelheid informatie die over de financiële sector wordt uitgestort. Hoe houd je dat als verzekeraar intern in de hand?

“De bedrijfstak wordt inderdaad doodgegooid met whitepapers, analyses en andere informatie. Juristen smullen van wetgeving en gaan daarmee de boer op. Dat is ook logisch, want er zit waarschijnlijk een leuk verdienmodel in. Wat helpt is duidelijkheid. Liefst op zo hoog mogelijk niveau. Zorg er daarom als eerste voor dat de besturing van DORA-activiteiten eenduidig wordt belegd. Het liefst vanuit een bestaande governance van je organisatie. Platgezegd moet de hoogste baas de opdrachtgever voor DORA-compliancy zijn. Meteen daaronder zit een team dat het werk doet, de lijnen uitzet en ervoor zorgt dat alle kikkers in de kruiwagen blijven zitten. Dat is de theorie dan hé. In de praktijk is het namelijk best lastig om tegen medewerkers en collega's te zeggen: ‘jij doet niks totdat ik het zeg’. Daarom is goed informeren zo belangrijk. Ook over de voortgang van het project. Als medewerkers niks horen, trekken ze hun eigen conclusies en gaan ze zelf aan de gang.”

Heb je tot slot nog andere tips die verzekeraars in hun dagelijkse praktijk kunnen gebruiken?

“Een van de eerste – voor de hand liggende - dingen die je moet doen, is een GAP-analyse maken. Het is wel verstandig om dat dan als een dynamisch document te zien, zodat je het steeds kunt bijsturen op basis van nieuwe ontwikkelingen en inzichten. Daarnaast is het handig om eerst acties uit te kiezen waarvan je zeker weet dat die later ook in de wet belanden. Een voorbeeld is de expliciete verantwoordelijkheid voor de weerbaarheid van het bedrijf in handen van de Raad van Bestuur of de Raad van Commissarissen leggen. Begin alvast met kennissessies. Een lid van de Raad van Bestuur moet wel weten wat een ransomware-aanval is en inhoudt. Wat is de impact van zo'n aanval? Een inkoppertje tot slot is dat je moet zorgen dat de basis op orde is. Je basishygiëne moet staan. Weet iedereen wat hij/zij moet doen als er een incident plaatsvindt? Zijn de registratiesystemen die volgen uit je IT- en leveranciersprocessen bijgewerkt? Het klinkt zo simpel, maar als de basis er al ligt, helpt dat verzekeraars als ze op 17 januari 2025 helemaal los mogen.”

Meer lezen over DORA? Bekijk de 5 vragen die wij stelden aan Anne-Mieke Dumoulin-Siemens van Ekelmans Advocaten.

(Tekst: Miranda de Groene)