IT-beveiligingsspecialist bestudeert compliance-documentatie met hangslot en sleutel op financiële documenten, serverruimte op achtergrond

Hoe ondersteunt een IT security officer DORA-compliance?

in

Een IT-securityofficer ondersteunt DORA-compliance door het coördineren van ICT-risicomanagement, het ontwikkelen van beveiligingsbeleid en het fungeren als schakel tussen technische teams en bestuur. Deze functie is essentieel voor het voldoen aan de Digital Operational Resilience Act, die sinds januari 2025 van toepassing is op financiële instellingen. In dit artikel beantwoorden we de belangrijkste vragen over de rol van een IT-securityofficer binnen het DORA-kader.

Wat doet een IT-securityofficer bij DORA-compliance?

Een IT-securityofficer coördineert alle activiteiten rondom digitale weerbaarheid en zorgt ervoor dat de organisatie voldoet aan de DORA-vereisten. Deze professional ontwikkelt en implementeert beveiligingsbeleid, monitort de naleving van regelgeving en rapporteert aan het bestuur over de status van ICT-risico’s en beheersmaatregelen.

De dagelijkse taken omvatten het structureel coördineren van informatiebeveiliging, het onderhouden van contacten met toezichthouders en het begeleiden van interne audits. Anders dan traditionele IT-rollen, die zich primair richten op technische implementatie, houdt de IT-securityofficer zich bezig met governance, compliance en risicomanagement op strategisch niveau.

Een belangrijk verschil met andere IT-functies is de brugfunctie tussen techniek en bestuur. De IT-securityofficer vertaalt technische risico’s naar begrijpelijke informatie voor directie en bestuurders, zodat zij weloverwogen beslissingen kunnen nemen over investeringen in digitale weerbaarheid. Zonder deze functie ontstaat vaak een single point of failure-situatie, waarbij processen afhankelijk zijn van individuele medewerkers zonder formele documentatie of periodieke controles.

Welke DORA-vereisten vallen onder de verantwoordelijkheid van een IT-securityofficer?

De IT-securityofficer speelt een centrale rol bij alle vijf pijlers van DORA: ICT-risicobeheer, incidentenbeheer en rapportage, digitale weerbaarheidstesten, beheer van derde partijen en informatie-uitwisseling. Bij elk onderdeel heeft deze functie specifieke verantwoordelijkheden die bijdragen aan aantoonbare compliance.

Binnen het ICT-risicobeheerframework is de IT-securityofficer verantwoordelijk voor het opstellen en onderhouden van minimaal vijftien beleidsgebieden, waaronder beveiligingsbeleid, encryptiebeleid, identiteits- en toegangsbeheer, wijzigingsbeheer en bedrijfscontinuïteit. Het bedrijfscontinuïteitsbeleid en het beleid voor derde partijen vereisen goedkeuring van het bestuur.

De verantwoordelijkheden per DORA-pijler:

  • ICT-risicobeheer: opstellen van risicoregisters, implementeren van beheersmaatregelen, rapportage aan het bestuur
  • Incidentenbeheer: classificatie, escalatie en melding van ICT-gerelateerde incidenten
  • Weerbaarheidstesten: coördineren van periodieke penetratietesten en threat-led testing
  • Derdenbeheer: beoordelen van uitbestedingsrisico’s en monitoren van leveranciersprestaties
  • Informatie-uitwisseling: faciliteren van kennisdeling over dreigingen en kwetsbaarheden

Hoe helpt een IT-securityofficer bij het opzetten van ICT-risicomanagement?

De IT-securityofficer neemt praktische stappen voor effectief ICT-risicomanagement door risico’s systematisch te identificeren, analyseren en beheersen. Dit begint met het in kaart brengen van alle ICT-assets, kritieke processen en afhankelijkheden van externe dienstverleners.

Bij de risico-identificatie inventariseert de IT-securityofficer potentiële bedreigingen voor de digitale infrastructuur. Vervolgens past deze professional een risicoanalysemethodiek toe om de waarschijnlijkheid en impact van elk risico te bepalen. De resultaten worden vastgelegd in een risicoregister dat periodiek wordt geactualiseerd.

Het implementeren van beheersmaatregelen vormt de volgende stap. De IT-securityofficer selecteert passende maatregelen op basis van de risicoanalyse en zorgt voor documentatie van alle procedures. Het NOREA DORA in Control Framework biedt hierbij een praktische structuur met 28 controlegebieden en specifieke beheersmaatregelen.

De rapportage aan bestuur en toezichthouders is een doorlopende verantwoordelijkheid. De IT-securityofficer presenteert periodiek de status van risico’s, de effectiviteit van maatregelen en eventuele verbeterpunten. Een maturitymodel gebaseerd op DNB Good Practices helpt bij het bepalen van het volwassenheidsniveau, waarbij niveau 3 (Defined) het aanbevolen minimum is voor aantoonbare DORA-compliance.

Wat is de rol van een IT-securityofficer bij DORA-incidentmelding?

Bij ICT-incidenten onder DORA is de IT-securityofficer verantwoordelijk voor de classificatie, escalatie en tijdige melding aan toezichthouders. Ernstige ICT-gerelateerde incidenten, zoals datalekken of cyberaanvallen, moeten binnen strikte termijnen worden gemeld bij de bevoegde autoriteit.

De classificatie van incidenten bepaalt welke meldingsverplichtingen van toepassing zijn. De IT-securityofficer beoordeelt de ernst op basis van criteria zoals het aantal getroffen klanten, de duur van de verstoring en de financiële impact. Op basis hiervan wordt besloten of melding bij de toezichthouder noodzakelijk is.

Interne escalatieprocedures zorgen ervoor dat de juiste mensen tijdig worden geïnformeerd. De IT-securityofficer stelt deze procedures op en test ze periodiek. Communicatieprotocollen beschrijven wie wat communiceert naar welke stakeholders, inclusief klanten, partners en media.

Het opstellen van incidentrapportages is een formele verplichting onder DORA. De IT-securityofficer documenteert de oorzaak, het verloop en de genomen maatregelen. Deze rapportages dienen als bewijs voor toezichthouders en vormen input voor het verbeteren van preventieve maatregelen.

Hoe organiseert een IT-securityofficer verplichte weerbaarheidstesten?

De IT-securityofficer coördineert periodieke digitale weerbaarheidstesten zoals vereist door DORA, waaronder threat-led penetration testing (TLPT) voor grotere financiële instellingen. Deze testen verifiëren of beveiligingsmaatregelen daadwerkelijk effectief zijn tegen realistische dreigingen.

Het selecteren van gekwalificeerde testers is een belangrijke verantwoordelijkheid. DORA stelt eisen aan de onafhankelijkheid en expertise van testers die TLPT uitvoeren. De IT-securityofficer beoordeelt potentiële testers op basis van certificeringen, ervaring en methodologie.

Bij het plannen van testscenario’s houdt de IT-securityofficer rekening met actuele dreigingen en de specifieke risico’s van de organisatie. Scenario’s worden afgestemd op de kritieke functies en systemen die de organisatie ondersteunt. Gestructureerde securitymonitoring en periodieke vulnerabilityscans vormen de basis voor effectieve testplanning.

Na afloop van testen verwerkt de IT-securityofficer de bevindingen en stelt een verbeterplan op. Kwetsbaarheden worden geprioriteerd op basis van risico en er worden concrete acties gedefinieerd. De voortgang van verbeteringen wordt gemonitord en gerapporteerd aan het bestuur.

Wanneer heeft een organisatie een dedicated IT-securityofficer nodig voor DORA?

De noodzaak voor een dedicated IT-securityofficer hangt af van de organisatieomvang, de complexiteit van het IT-landschap en het type financiële dienstverlening. DORA hanteert een proportionaliteitsprincipe, waarbij de vereisten worden afgestemd op de aard en schaal van de activiteiten.

Factoren die een dedicated functie rechtvaardigen, zijn onder meer een uitgebreid IT-landschap met meerdere kritieke systemen, afhankelijkheid van diverse externe IT-dienstverleners en beperkte interne expertise op het gebied van informatiebeveiliging en compliance.

Voor kleinere organisaties kunnen alternatieven geschikt zijn. Een gedeelde functie, waarbij de IT-securityofficer verantwoordelijkheden combineert met andere taken, is een optie voor organisaties met een overzichtelijk IT-landschap. Uitbesteding van de securityofficerfunctie biedt toegang tot specialistische expertise zonder de kosten van een fulltime medewerker.

Het ontbreken van een securityofficer die structureel informatiebeveiliging coördineert, creëert kwetsbaarheid in diverse DORA-domeinen. Organisaties die processen laten draaien op kennis van individuele medewerkers zonder formele documentatie en periodieke controles, lopen risico op onvoldoende aantoonbaar beheer van risico’s.

Hoe ondersteunt Hoek en Blok IT bij DORA-compliance?

Hoek en Blok IT biedt praktische ondersteuning voor organisaties die zich voorbereiden op DORA-compliance. Met het IT Security Officer as-a-Service-concept krijgen organisaties toegang tot ervaren NOREA-gecertificeerde auditors zonder de kosten van een fulltime medewerker.

De dienstverlening omvat:

  • DORA-readinessassessments: nulmeting om inzicht te krijgen in de huidige status en benodigde verbeteringen
  • IT Security Officer as-a-Service: structurele coördinatie van informatiebeveiliging en compliance
  • Penetratietesten en ethical hacking: periodieke weerbaarheidstesten door gekwalificeerde testers
  • Ondersteuning bij incidentprocedures: opzetten van classificatie-, escalatie- en meldingsprocessen
  • Begeleiding bij audits en assurancerapportages: ondersteuning bij ISAE 3402-verklaringen en SOC 2-rapportages
  • GAP-assessments: bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid

Wilt u weten hoe uw organisatie ervoor staat op het gebied van DORA-compliance? Neem contact op met Hoek en Blok IT voor een vrijblijvend adviesgesprek over de mogelijkheden voor uw specifieke situatie.

Hoe test je je NIS2 cybersecurity?Hangslot en sleutel naast laptop terwijl cybersecurity-professional typt, blauw licht werpt schaduwen in moderne kantooromgevingBeveiligingsmedewerker houdt messing hangslot vast bij serverrack met kettingen en compliance-documenten op bureauHoe zorg je voor NIS2 compliance?