Vergrootglas gericht op kleine letters van compliance-documenten met stopwatch, op houten bureau in warm kantorlicht

Welke testverplichtingen kent DORA?

in

De Digital Operational Resilience Act (DORA) verplicht financiële instellingen om hun digitale weerbaarheid structureel te testen. Deze testverplichtingen omvatten basis-ICT-testen die jaarlijks uitgevoerd moeten worden en, voor grotere organisaties, ook driejaarlijkse geavanceerde penetratietesten (TLPT). De exacte testvereisten hangen af van de omvang en het risicoprofiel van jouw organisatie. Hieronder vind je antwoorden op de belangrijkste vragen over DORA-testverplichtingen.

Wat zijn de testverplichtingen onder DORA?

DORA schrijft voor dat financiële instellingen hun ICT-systemen en -processen regelmatig moeten testen om de digitale operationele weerbaarheid te waarborgen. Deze testverplichtingen vormen een van de vijf hoofdpijlers van de wetgeving en zijn bedoeld om aan te tonen dat organisaties daadwerkelijk weerbaar zijn tegen cyberdreigingen en operationele verstoringen.

De wetgeving maakt onderscheid tussen twee hoofdcategorieën testen. De eerste categorie betreft basis-ICT-testen die voor alle financiële entiteiten gelden. Hieronder vallen kwetsbaarheidsscans, netwerkbeveiligingstesten en applicatietesten. De tweede categorie omvat geavanceerde, dreigingsgestuurde penetratietesten (TLPT), die alleen verplicht zijn voor significante financiële entiteiten met een hoger risicoprofiel.

Welke testvereisten precies van toepassing zijn, hangt af van meerdere factoren:

  • De omvang van jouw organisatie
  • Het risicoprofiel en de complexiteit van ICT-systemen
  • De kritieke functies die jouw organisatie vervult binnen de financiële sector
  • De mate van afhankelijkheid van externe IT-dienstverleners

Welke soorten testen schrijft DORA precies voor?

DORA specificeert verschillende testtypen die organisaties moeten uitvoeren om hun digitale weerbaarheid aan te tonen. Elke testcategorie heeft eigen methodologische vereisten en richt zich op specifieke aspecten van de ICT-infrastructuur.

Kwetsbaarheidsscans vormen de basis en identificeren bekende zwakheden in systemen, applicaties en netwerken. Deze geautomatiseerde scans moeten regelmatig worden uitgevoerd om nieuwe kwetsbaarheden tijdig te ontdekken.

Netwerk- en infrastructuurtesten beoordelen de beveiliging van netwerkcomponenten, firewalls en andere infrastructurele elementen. Applicatietesten richten zich specifiek op de beveiliging van software en webapplicaties die kritieke bedrijfsprocessen ondersteunen.

Scenariogebaseerde testen simuleren realistische aanvalsscenario’s om te beoordelen hoe systemen en medewerkers reageren op specifieke dreigingen. Deze testen helpen bij het valideren van incidentresponsprocedures.

De meest geavanceerde testvorm is threat-led penetration testing (TLPT), gebaseerd op actuele dreigingsinformatie. TLPT simuleert aanvallen van geavanceerde dreigingsactoren en test de volledige verdedigingsketen van een organisatie.

Hoe vaak moeten DORA-testen worden uitgevoerd?

De testfrequentie onder DORA varieert per testtype en organisatietype. Basis-ICT-testen moeten minimaal jaarlijks worden uitgevoerd. Voor TLPT geldt een driejaarlijkse cyclus bij significante financiële entiteiten die aan de criteria voor geavanceerd testen voldoen.

Verschillende factoren kunnen aanleiding geven tot frequentere testen:

  • Significante wijzigingen in de ICT-infrastructuur of het applicatielandschap
  • Veranderingen in het dreigingslandschap die relevant zijn voor jouw sector
  • Na fusies, overnames of andere organisatorische veranderingen
  • Wanneer nieuwe kritieke systemen of diensten worden geïmplementeerd

Het is verstandig om een testkalender op te stellen die rekening houdt met deze dynamische factoren. Toezichthouders zoals DNB verwachten dat organisaties hun testprogramma proactief aanpassen aan veranderende omstandigheden.

Wat is het verschil tussen reguliere penetratietesten en TLPT onder DORA?

Reguliere penetratietesten en TLPT verschillen fundamenteel in aanpak, diepgang en methodologie. Bij standaardpenetratietesten worden systemen getest op bekende kwetsbaarheden, vaak met een vooraf gedefinieerde scope en tijdsduur.

TLPT gaat aanzienlijk verder en is gebaseerd op de TIBER-EU-methodologie. Bij TLPT wordt eerst een uitgebreide dreigingsanalyse uitgevoerd door een gespecialiseerd threat-intelligence-team. Op basis van deze analyse worden realistische aanvalsscenario’s ontwikkeld die specifiek zijn voor jouw organisatie en sector.

De belangrijkste verschillen zijn:

  • TLPT gebruikt actuele threat intelligence om aanvallen te simuleren
  • De testscope bij TLPT omvat kritieke functies en processen, niet alleen technische systemen
  • TLPT-testers opereren zonder voorkennis van verdedigingsmaatregelen (red team)
  • De testduur bij TLPT is langer en omvat meerdere aanvalsfases

TLPT is alleen verplicht voor significante financiële entiteiten. Kleinere organisaties kunnen volstaan met reguliere penetratietesten, mits deze voldoen aan de DORA-vereisten voor basis-ICT-testen.

Wie mag DORA-testen uitvoeren?

DORA stelt specifieke eisen aan testers, waarbij onafhankelijkheid een kernvereiste is. Voor basis-ICT-testen kunnen zowel interne als externe testers worden ingezet, mits zij onafhankelijk opereren van de teams die verantwoordelijk zijn voor de geteste systemen.

Voor TLPT gelden strengere eisen. Externe testers moeten beschikken over:

  • Aantoonbare expertise in threat intelligence en red teaming
  • Relevante certificeringen en accreditaties
  • Ervaring met testen in de financiële sector
  • Een adequate beroepsaansprakelijkheidsverzekering

Binnen de Nederlandse context zijn accreditaties zoals OSCP, CREST en vergelijkbare certificeringen relevant. Voor TLPT-testen wordt vaak samengewerkt met gespecialiseerde red-teamproviders die ervaring hebben met de TIBER-methodologie.

Interne testers mogen onder bepaalde voorwaarden TLPT uitvoeren, maar de toezichthouder kan externe validatie vereisen. De onafhankelijkheidsvereisten betekenen in de praktijk dat veel organisaties kiezen voor externe testpartners.

Wat zijn de gevolgen van niet-naleving van DORA-testverplichtingen?

Niet-naleving van DORA-testverplichtingen kan leiden tot verschillende sancties en consequenties. Toezichthouders zoals DNB en AFM hebben handhavingsbevoegdheden die variëren van waarschuwingen tot financiële sancties.

De mogelijke gevolgen omvatten:

  • Formele waarschuwingen en aanwijzingen tot herstel
  • Boetes die kunnen oplopen tot aanzienlijke bedragen
  • Verplichte maatregelen om geconstateerde tekortkomingen te herstellen
  • Verscherpt toezicht met frequentere inspecties

Naast formele sancties zijn er reputatierisico’s. Organisaties die niet kunnen aantonen dat zij hun digitale weerbaarheid adequaat testen, lopen het risico op vertrouwensverlies bij klanten en zakenpartners. Bij incidenten kan het ontbreken van adequate testprogramma’s leiden tot aanvullende aansprakelijkheid.

Na uitgevoerde testen gelden rapportageverplichtingen. Testresultaten en genomen herstelmaatregelen moeten worden gedocumenteerd en op verzoek beschikbaar zijn voor toezichthouders. Een nulmeting vormt daarbij een onmisbare eerste stap om helder inzicht te krijgen in wat DORA concreet voor jouw organisatie betekent.

Hoe helpt Hoek en Blok IT bij DORA-testverplichtingen?

Hoek en Blok IT ondersteunt organisaties bij het voldoen aan DORA-testverplichtingen met een pragmatische en resultaatgerichte aanpak. Het team van NOREA-gecertificeerde IT-auditors combineert ruime ervaring in de financiële sector met diepgaande kennis van DORA-vereisten.

De dienstverlening omvat:

  • DORA-nulmetingen om jouw huidige positie ten opzichte van testverplichtingen in kaart te brengen
  • Penetratietesten en security-assessments die aansluiten bij DORA-vereisten
  • Ethical-hackingdiensten uitgevoerd door gecertificeerde specialisten
  • Ondersteuning bij het opzetten van een structureel testprogramma
  • Begeleiding bij de voorbereiding op toezichthoudersinspecties

Door gebruik te maken van het NOREA DORA in Control Framework en best practices uit de sector, help je jouw organisatie efficiënt te voldoen aan testvereisten zonder onnodige administratieve lasten.

Wil je weten hoe jouw organisatie ervoor staat met betrekking tot DORA-testverplichtingen? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over de mogelijkheden.