CIO Michel Ruijterman van de Volksbank over hoe DORA bijdraagt aan vertrouwen in de financiële sector

De invoering van DORA vraagt om nieuwe strategieën voor IT-risico's. Leer meer over de gevolgen.

In het kort:

• CIO Michel Ruijterman van Volksbank is positief over het effect van DORA, het leidt namelijk tot een Level Playing Field in Europa waar alle financiële instellingen aan dezelfde eisen moeten voldoen.
• Daarnaast creëert het een verhoogd bewustzijn over waarom het belangrijk is dat derde partijen aan strikte voorwaarden moeten voldoen.
• Tenslotte is het een mogelijke springplank om met dergelijke eisen ook in andere sectoren bij te dragen aan meer stabiliteit.

Michel Ruijterman is CIO van de Volksbank en lid van het Executive Committee. Hij was de trekker van de implementatie van DORA en ziet hoe deze wetgeving bijdraagt aan het vertrouwen in de financiële sector. Sterker nog, soortgelijke maatregelen mogen van hem best voor meer sectoren gaan gelden en juicht dan ook de komst van NIS2 toe, stelt hij in het gesprek met Marc Welters partner EY.

Water stroomt naar het laagste punt. Die metafoor maakt duidelijk waarom het voor een financiële instelling belangrijk is om kwetsbaarheden in de digitale infrastructuur goed te managen. Uiteraard wil je het meer dan moeilijk maken voor malafide partijen, variërend van een lone wolf die zijn kunsten laat zien tot goed georganiseerde cybercriminelen die met een duidelijk doel opereren. Dat is belangrijk want financiële instellingen zijn de afgelopen decennia natuurlijk – in oneerbiedige termen – bijna IT-fabrieken geworden. De tijd dat bankieren draaide om mensen die de beste deals sloten, ligt achter ons. Alles is IT.

Met de metafoor van het water in gedachten kun je heel egoïstisch redeneren dat je liever hebt dat niet jij, maar je buurman het laagste punt is. Maar beter is om de sector als geheel sterker te maken en ook dat is welbegrepen eigenbelang. Banken bestaan immers bij de gratie van het vertrouwen van hun klanten. En als er bij een collega wat grondig mis zou gaan, straalt dat ook op ons af. Heel praktisch: als mensen een week lang bij een bank niet bij hun geld zouden kunnen, heeft dat natuurlijk ook effect op andere banken. Precies daarom ben ik blij met de komst van DORA. Deze Europese wetgeving legt de op het gebied van IT-weerbaarheid lat een stuk hoger voor de hele sector. Er is sprake van een Level Playing Field. 

De implementatie van DORA heeft wat mij betreft zeker bijgedragen aan een veiligere en robuustere financiële wereld. Dat is op meerdere terreinen te zien. We testen nieuwe systemen nog meer dan al het geval was. We monitoren bestaande systemen intensiever. We zetten in op penetratietesten door ethische hackers om eventuele kwetsbaarheden bloot te leggen. We hebben nadrukkelijker dan ooit ons Business Continuity Management georganiseerd: als er wat mis gaat weten we wat we moeten doen. En, misschien wel een van de belangrijkste thema’s van DORA, we hebben meer focus gelegd op leveranciersmanagement.

Een stabiele en weerbare financiële sector vergt meer dan ooit maatregelen in de hele keten, want door de digitalisering zijn we steeds meer verknoopt geraakt met technologieproviders, van de grote bekende partijen als Microsoft en Amazon tot kleinere partijen die gespecialiseerde diensten bieden. Ook in die keten geldt dat water het laagste punt zoekt en dus is het zaak de hele keten op het juiste niveau te krijgen.

Op dat punt leverde DORA een intensief traject op. We hebben hiervoor honderden contracten grondig geanalyseerd en/of herzien en daarbij ging het om een brede scope aan toeleveranciers, want DORA ziet niet alleen maar op outsourcing van IT, maar ook op partijen die hardware leveren. In die contracten speelde een veelheid van onderwerpen een rol. Denk aan het recht op monitoring en audit. Maar denk ook aan het bepalen van een exit-strategie en een goede voorbereiding op wat er gebeurt als een partij in de keten omvalt. En dan mogen we natuurlijk data integriteit en gegevensbescherming niet vergeten.

Dit zijn zulke essentiële onderwerpen dat ze ook volwaardige aandacht verdienen op de agenda van de board. Ik ben als CIO weliswaar de trekker van het project maar we zijn nadrukkelijk verantwoordelijk met het hele Excutive Committee. Tijdens het traject hebben we dan ook met grote regelmaat sessies georganiseerd om iedereen op het vereiste niveau te krijgen qua kennis, en het is mooi om te zien hoe iedereen daar vanuit een eigen invalshoek naar het thema kijkt. Bij die brede aanpak hoort ook een goede voortgangsrapportage over wat er wel en niet goed gaat. Aangezien we het project via een agile methode hebben opgepakt, hebben we besloten om simpelweg inzicht te geven met een zandlopertje dat laat zien hoever we waren met het oppakken van de 200 epics (bundels van taken). Natuurlijk is dat arbitrair want de ene epic is belangrijker dan de andere. Maar waar het bij zo’n indicator om gaat is dat het leidt tot een goed gesprek erover. Alles wat aandacht krijgt groeit.

Het mooie van DORA is dat het in de hele Europese Unie van toepassing is en dat je toeleveranciers dus niet hoeft te overtuigen dat er aanpassingen nodig zijn in contracten en service level agreements. Bij andere (nationale) wetgeving was dat soms best lastig maar hier is echt sprake van een collectieve uitdaging. De uitdaging waar de sector nu voor staat is nog meer gezamenlijkheid aan te brengen. Ik moedig dan ook aan dat er gezamenlijke certificeringen en dergelijke komen zodat er collectief een efficiënte en effectieve aanpak ontstaat.

Verder heeft DORA ons tot verdere professionalisering van domeinen zoals Business Continuity Management heeft geleid. We zetten daar bijvoorbeeld software tooling in zodat we dat efficiënt kunnen aanpakken en daarmee maar beperkt menskracht hoeven in te zetten. Menskracht die schaars verkrijgbaar is. 

Met dat alles komt wat mij betreft ook de vraag op of soortgelijke eisen niet van toepassing zouden moeten zijn voor andere sectoren. Voor de ‘BV Europa’ als geheel. Mijn antwoord is duidelijk: jazeker. Als we een manier kunnen vinden om dat proportioneel te doen – dus de eisen afstemmen op de specifieke risico’s van de sector – zou dat enorm waardevol zijn voor een weerbare economie.
 

Dit is een artikel uit het Eye on Finance magazine. Download hier de PDF voor meer inzichten over DORA en de financiële sector of bekijk de andere artikelen hieronder.