Management aan zet
Naast dat de DORA heel nauwkeurig uitschrijft hoe je allerlei risico’s dient te beheersen en welke controls je minimaal dient te hebben, zijn ze ook klip-en-klaar over de rol van het management. Het management is bijvoorbeeld verantwoordelijk voor:
- het ontwikkelen en implementeren van een robuust kader voor operationele weerbaarheid;
- het opstellen van procedures voor het beheer van IT-incidenten, inclusief detectie, reactie, herstel en tijdig rapporteren van significante incidenten;
- het ontwikkelen van een risicobeheerstrategie die rekening houdt met alle mogelijke IT-risico’s’
- het opstellen van plannen en testen voor bedrijfscontinuïteit en herstel in geval van IT-incidenten;
- het zorgen voor regelmatige training en bewustwording bij medewerkers over cybersecurity en operationele weerbaarheid, zodat iedereen in de organisatie op de hoogte is van de juiste procedures en het belang van cyberveiligheid.
Lead by example
Kortom, het is duidelijk dat DORA het management als belangrijke schakel ziet. Dit gaat verder dan slechts het leveren van een budget of hoog over besluiten nemen in een stuurgroep. Het management dient echt inhoudelijk betrokken te zijn bij de DORA-implementatie en ervoor te zorgen dat de genomen maatregelen in het kader van DORA ook echt effectief zijn.
Dat vraagt ook zeker aanscherping van kennis over IT-risico’s van het management en een proactieve houding ten opzichte van cyberveiligheid. Door hun betrokkenheid kan het management niet alleen zorgen voor de naleving van de wettelijke vereisten, maar ook het belang van cyberveiligheid voor de organisatie uitdragen.
De wortel en de stok
Gedragsverandering stimuleren gaat wat mij betreft met een wortel vele malen beter dan met een stok. Daar dacht de regelgever anders over. DORA houdt het management volledig verantwoordelijk ingeval er onvoldoende actie is ondernomen om de juiste maatregelen te treffen. Afhankelijk van de mate van nalatigheid en de impact van de overtreding kunnen financiële sancties worden opgelegd aan zowel de entiteit als aan de individuen binnen het management. De hoogte van de boetes kan aanzienlijk zijn.
Bevoegde autoriteiten kunnen ook beperkingen opleggen aan de activiteiten van de entiteit. Dit kan variëren van het beperken van bepaalde diensten tot het tijdelijk of permanent intrekken van vergunningen om bepaalde activiteiten uit te voeren. In ernstige gevallen kunnen individuen binnen het management persoonlijk aansprakelijk worden gesteld voor de niet-naleving van de wet. Dit kan resulteren in disciplinaire maatregelen, ontslag, of zelfs juridische vervolging.
Kortom DORA is in alle facetten chefsache!
![Probability & Partners](https://i0.wp.com/probability.nl/wp-content/uploads/2014/11/pp-logo3.png?fit=340%2C156&ssl=1 "Probability & Partners\"){kind=logo}
