Gehandschoende hand houdt metalen schild met digitaal slot voor serverrek in datacenter met blauwe verlichting

Hoe vaak moet je penetratietesten uitvoeren voor DORA?

in

Onder DORA moeten financiële instellingen minimaal elke drie jaar een Threat-Led Penetration Test (TLPT) uitvoeren. Dit geldt voor organisaties die door de toezichthouder zijn aangewezen op basis van hun risicoprofiel en systeemrelevantie. Naast deze verplichte TLPT’s schrijft DORA ook reguliere beveiligingstesten voor die vaker moeten plaatsvinden. In dit artikel beantwoorden we de belangrijkste vragen over penetratietesten binnen het DORA-kader.

Wat schrijft DORA precies voor over penetratietesten?

DORA maakt een duidelijk onderscheid tussen twee soorten beveiligingstesten. Alle financiële entiteiten moeten reguliere beveiligingstesten uitvoeren als onderdeel van hun ICT-risicobeheer. Daarnaast geldt voor bepaalde organisaties de verplichting tot Threat-Led Penetration Testing (TLPT), een geavanceerdere testvorm die specifieke dreigingsscenario’s simuleert.

De wettelijke basis voor deze testvereisten ligt in de artikelen 24 tot en met 27 van de DORA-verordening. De reguliere testen omvatten onder andere kwetsbaarheidsscans, netwerkbeveiligingsanalyses en penetratietesten op applicatieniveau. Deze testen moeten risicogebaseerd worden gepland en uitgevoerd.

Voor TLPT gelden strengere eisen. Deze testen moeten worden uitgevoerd volgens het TIBER-EU-framework of een gelijkwaardig nationaal kader. De toezichthouder bepaalt welke organisaties onder de TLPT-verplichting vallen, waarbij factoren als omvang, complexiteit en systeemrelevantie een rol spelen.

Hoe vaak moet je een TLPT uitvoeren volgens DORA?

DORA schrijft voor dat aangewezen financiële entiteiten minimaal elke drie jaar een TLPT moeten uitvoeren. Deze frequentie is vastgelegd in de verordening en geldt als minimumvereiste. De toezichthouder kan echter besluiten dat een organisatie vaker moet testen op basis van het specifieke risicoprofiel.

Factoren die kunnen leiden tot een hogere testfrequentie zijn onder meer:

  • significante wijzigingen in de ICT-infrastructuur of bedrijfsprocessen
  • verhoogde dreigingsniveaus binnen de financiële sector
  • eerdere beveiligingsincidenten of geconstateerde kwetsbaarheden
  • uitbreiding van dienstverlening naar nieuwe markten of klantgroepen

Naast de driejaarlijkse TLPT-cyclus moeten organisaties hun reguliere penetratietesten jaarlijks uitvoeren. Dit zorgt voor continue monitoring van de beveiligingspositie tussen de uitgebreidere TLPT’s door.

Wat is het verschil tussen reguliere penetratietesten en TLPT onder DORA?

Reguliere penetratietesten richten zich op het identificeren van technische kwetsbaarheden in systemen en applicaties. TLPT gaat een stap verder door realistische aanvalsscenario’s te simuleren die gebaseerd zijn op actuele dreigingsinformatie. Het verschil zit in de aanpak, scope en diepgang van de testen.

Bij reguliere penetratietesten bepaalt de organisatie zelf de scope en methodiek. TLPT daarentegen vereist een threat-intelligencegedreven aanpak, waarbij onafhankelijke testers scenario’s uitvoeren die overeenkomen met werkelijke tactieken van cybercriminelen en statelijke actoren.

De belangrijkste verschillen op een rij:

  • Scope: reguliere testen focussen op specifieke systemen; TLPT betreft kritieke functies en processen
  • Methodiek: TLPT vereist threat intelligence als basis voor testscenario’s
  • Testers: TLPT moet worden uitgevoerd door onafhankelijke, gekwalificeerde partijen
  • Toezicht: de toezichthouder is actief betrokken bij TLPT-trajecten
  • Rapportage: TLPT-resultaten moeten worden gedeeld met de toezichthouder

Welke organisaties moeten verplicht TLPT uitvoeren?

Niet alle financiële instellingen vallen onder de TLPT-verplichting. DORA hanteert een proportionaliteitsbeginsel, waarbij de toezichthouder bepaalt welke organisaties verplicht zijn om TLPT uit te voeren. Dit gebeurt op basis van criteria zoals omvang, complexiteit en systeemrelevantie voor de financiële sector.

Organisaties die doorgaans onder de TLPT-verplichting vallen, zijn:

  • systeemrelevante banken en kredietinstellingen
  • grote verzekeraars en herverzekeraars
  • centrale effectenbewaarinstellingen
  • centrale tegenpartijen (CCP’s)
  • handelsplatformen met een significante marktpositie

De toezichthouder, in Nederland De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM), wijst specifieke entiteiten aan. Organisaties die niet onder de TLPT-verplichting vallen, moeten wel voldoen aan de reguliere testvereisten. Het is raadzaam om proactief contact te zoeken met de toezichthouder voor duidelijkheid over de eigen verplichtingen.

Hoe bereid je je organisatie voor op DORA-penetratietesten?

Een goede voorbereiding op DORA-conforme penetratietesten begint met het in kaart brengen van je kritieke ICT-systemen en -processen. Dit vormt de basis voor het bepalen van de testscope en het selecteren van geschikte testpartners. Zorg dat je documentatie op orde is voordat je met testen begint.

Praktische stappen voor de voorbereiding:

  • inventariseer alle kritieke ICT-assets en hun onderlinge afhankelijkheden
  • stel een actueel dreigingsbeeld op voor je organisatie en sector
  • selecteer gekwalificeerde testers met aantoonbare ervaring in TLPT of ethical hacking
  • definieer duidelijke testscenario’s op basis van relevante threat intelligence
  • richt processen in voor veilige uitvoering en escalatie tijdens testen
  • zorg voor adequate documentatie en rapportageformats conform de DORA-vereisten

Het is belangrijk om ook je derde dienstverleners te betrekken bij de voorbereiding. DORA vereist immers dat je de risico’s van uitbesteding aan kritieke IT-leveranciers beheerst. Contractuele afspraken moeten ruimte bieden voor het uitvoeren van testen op uitbestede diensten.

Daarnaast is aantoonbaarheid een kernaspect van DORA. Het is niet voldoende om testen uit te voeren; je moet ook kunnen aantonen dat je in control bent. Dit vraagt om gedegen vastlegging van testplannen, bevindingen en opvolgacties.

Hoe helpt Hoek en Blok IT bij penetratietesten voor DORA?

Hoek en Blok IT ondersteunt financiële instellingen en hun ketenpartners bij het voldoen aan de DORA-testvereisten. Met een combinatie van technische expertise en auditervaring biedt het bureau een pragmatische aanpak die past bij middelgrote organisaties.

Concrete diensten op het gebied van DORA-penetratietesten:

  • Ethical hacking en penetratietesten: uitvoering van reguliere beveiligingstesten conform de DORA-vereisten
  • Security assessments: beoordeling van je huidige beveiligingspositie en identificatie van verbeterpunten
  • IT Security Officer as a Service: doorlopende ondersteuning bij het inrichten en bewaken van je teststrategie
  • DORA-nulmeting: vaststellen in hoeverre je organisatie al voldoet aan de testvereisten
  • Documentatie en rapportage: ondersteuning bij het aantoonbaar maken van compliance richting toezichthouders

De NOREA-gecertificeerde EDP-auditors van Hoek en Blok IT begrijpen dat DORA niet alleen een IT-vraagstuk is, maar ook governance en aantoonbaarheid vereist. Wil je weten hoe jouw organisatie zich het beste kan voorbereiden op de DORA-testvereisten? Neem contact op voor een vrijblijvend gesprek over de mogelijkheden.