DORA De uitbestedingsketen

DORA De uitbestedingsketen

dinsdag 19 december 2023

DORA en het beheersen van uitbestedingsrisico’s: hoe houd je grip op het ICT-risico in de (onder)uitbestedingsketen? Een praktische benadering.

Ook als pdf te downloaden

De Digital Operational Resilience Act, afgekort DORA, bevat een aantal bepalingen die specifiek toezien op de beheersing van uitbestedingsrisico’s.

ICT-risico’s zijn niet mals; het is niet de vraag óf maar wannéér je getroffen wordt door een breach en de impact is vaak groot. Het adequaat beheersen van ICT-risico’s vraagt om gedegen kennis en alertheid. Hoewel in de betreffende bepalingen uit DORA in mijn ogen geen nieuwe aspecten worden genoemd die belangrijk zijn voor het adequaat beheersen van uitbestedingsrisico’s, kan je je wel afvragen hoe je deze uitgangspunten zo goed mogelijk kan vervlechten in je integrale risicobeheersing. Het gaat bij ICT-weerbaarheid vaak om complexe en technische informatie die bovendien ook nog eens diep uit de (onder)uitbestedingsketen moet worden opgehaald.

Bij het beheersen van uitbestedingsrisico’s is het belangrijk dat je volledig bent in wat je wilt weten. Hiervoor moet je inzicht hebben in wat voor jou belangrijk is. Het gaat dan niet alleen om ‘harde’ eisen maar juist ook om zachtere aspecten. Je wilt gevoel hebben bij het risicobewustzijn van je uitbestedingspartners, zeker als de materie ingewikkeld is zoals op het gebied van ICT.

Wat is je indruk van het inzicht van je uitbestedingspartner? En hoeveel belang hecht je uitbestedingspartner er voor jouw gevoel aan om je tijdig te voorzien van alle voor jou relevante informatie? Wat vind je van de mate van transparantie? Wordt er voor je gevoel vrij minimaal gerapporteerd of ervaar je oprechte betrokkenheid?

Tijdens de kennisdag kwam in gesprekken meer dan eens naar voren dat er onder u onduidelijkheid heerst hoe de DORA te vertalen naar de dagelijkse praktijk en dat u opziet tegen de hoeveelheid werk die dit mogelijk op gaat leveren. Hiernaast een handvat dat u kan helpen om orde te scheppen.

Inzicht krijgen met behulp van de Circles of influence van Covey 1

Hoe krijg je meer inzicht in wat je écht wilt weten om adequaat te kunnen sturen en hoe vervlecht je dit vervolgens in je monitorings- en evaluatieproces? Op het vlak van ICT, waarbij de verantwoordingsinformatie vrij technisch is, zal je hierbij waarschijnlijk meer (moeten) uitgaan van zachtere factoren. Maar hoe pak je dit aan? Om te concretiseren waar je inzicht in wilt krijgen, zou ik de volgende 3 stappen willen adviseren:

DORA

Stap 1

Teken op een vel papier twee cirkels: één grote en daarbinnen één kleinere. Dit ziet er als het goed is ongeveer zo uit als bovenstaand figuur, als een losse interpretatie van de circles of influence van Covey.

Stap 2

Ten tweede stel je een lijst op met aspecten die in jouw ogen belangrijk zijn bij het adequaat beheersen van het ICT-uitbestedingsrisico. Werk deze onderwerpen zo concreet mogelijk uit en verlies daarbij vooral zachtere aspecten niet uit het oog, ook al zijn deze misschien moeilijker te definiëren. Zo kan het zijn dat je het noodzakelijk vindt om het ‘goede’ gesprek te voeren met je uitbestedingspartner. Maar wat maakt zo’n gesprek voor jou dan van kwaliteit? En een ander voorbeeld: welke diepgang moet de verantwoordingsinformatie voor jou hebben om voldoende comfort te geven?

Stap 3

Als derde stap nummer je deze aspecten. Vervolgens ga je bij jezelf na op welke aspecten je wél invloed hebt, voor welke onderwerpen dit nog niet het geval is maar wat wel mogelijk zou moeten zijn en op welke aspecten je geen invloed zal kunnen uitoefenen. Klaar? Nu zet je in de buitenste cirkel de nummers van de aspecten die je weliswaar belangrijk vindt, maar waar je geen invloed op kan uitoefenen. In de binnenste cirkel plaats je de onderwerpen waarvoor dit wél mogelijk is.

Ten slotte

Ten slotte zet je de punten die je in de kleine cirkel hebt geplaatst onder elkaar. Nu heb je de punten in beeld waarvan jij denkt dat het zinvol is om op te sturen. Om de spreekwoordelijke cirkel rond te maken, leg deze nu naast de uitgangspunten die je al hanteert in het monitoren en evalueren van (ICT-) uitbestedingspartijen. Als het goed is, heb je deze processen nu (in ieder geval in opzet) verder aangescherpt. Mocht je hier eens verder over willen praten, neem dan contact op met mij. Ik denk graag met je mee.

  1. Stephen Covey, auteur en professor in organizational behavior and business management

Meer over DORA

Frederike Gieles

FREDERIKE GIELES

Senior Auditor bij InAudit
Neem direct contact op
via e-mail

Meer artikelen

De AVG heeft doorlopende aandacht nodig!

De AVG heeft doorlopende aandacht nodig!

di 16 apr 2024
Sinds 25 mei 2018 geldt in de gehele EU dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (AVG). Tijdens de uitvoering van auditwerkzaamheden bij onze klanten lopen we regelmatig tegen zaken aan die verbetering behoeven...
Lees Meer
Goede cyberaanvallen

Goede cyberaanvallen

zo 03 mrt 2024
In een digitale wereld waarin cyberdreigingen aan de orde van de dag zijn, spelen penetratietesten en ethische hackers een cruciale rol in het beschermen van gevoelige informatie en systemen. Terwijl criminele hackers voortdurend nieuwe tec...
Lees Meer
De duurzaamheidscoördinator

De duurzaamheidscoördinator

di 09 jan 2024
De AVG creëerde de functionaris gegevensbescherming, de DORA vraagt om een CISO of security officer en de CSRD een duurzaamheidscoördinator? Nee, de CSRD legt u niet de verplichting op om ook deze rol binnen uw organisatie te bele...
Lees Meer
Deze website maakt gebruik van cookies

InAudit maakt gebruik van cookies om de website te verbeteren en je voorkeuren te onthouden. De noodzakelijke en statistiek-cookies verzamelen geen persoonsgegevens en helpen ons de website te verbeteren. Ga je voor een optimaal werkende website inclusief embedded content druk dan op Accepteren.

Noodzakelijk
Voorkeuren
Statistieken

Lees meer over onze cookies in onze Privacy Policy.