The ITAM-Unit

Menu

De Digital Operational Resilience Act & IT Asset Management

Roel Dufifie

1. DORA

1.1. Wat is DORA?

DORA is de afkorting voor de Digital Operational Resilience Act. Het is een verordening afkomstig vanuit de Europese Unie en geldt sinds 17 januari 2025. Aangezien het een EU-verordening betreft, betekent dit dat deze wetgeving direct toepasselijk is in alle landen die lid zijn van de Europese Unie.

Het doel van de verordening is het weerbaar maken van de financiële sector in het geval van een onderbreking van de kritische digitale bedrijfsprocessen van financiële instellingen. Denk hierbij aan het wegvallen van IT-diensten waardoor banken en verzekeringsmaatschappijen geen betalingen meer aan hun klanten kunnen verrichten. Of denk aan een cyberaanval waardoor klantgegevens op straat komen te liggen.

In de verordeningstekst wordt er een onderscheid gemaakt in gebieden waar DORA de aandacht op richt. Zo zijn er hoofdstukken met betrekking tot ICT-risicobeheer, beheer, classificatie en rapportage van ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, beheer van ICT-risico van derde aanbieders en regelingen voor de uitwisseling van informatie. Binnen de hoofdstukken zijn weer afdelingen en artikelen opgenomen die verdere inhoud geven aan de verordening. Belangrijk om op te merken is dat de verplichtingen die DORA aan partijen oplegt, vaak al deels geregeld zijn. Zo staan in IT-contracten waarin kritische IT-dienstverlening gecontracteerd is bijvoorbeeld al afspraken over incidenten, rapportages hiervan, uitbesteding van de dienstverlening aan derde partijen (onderaannemers) en zijn er Service Level Agreements (SLA’s) opgenomen met betrekking tot de beschikbaarheid van de IT-dienst.

Financiële instellingen hadden vanaf 16 januari 2023 de tijd om aan DORA te voldoen. Uit de praktijk blijkt echter dat financiële instellingen nog niet geheel aan DORA voldoen. Zo bestaat er bijvoorbeeld onduidelijkheid over de toepasbaarheid van DORA. Is een proces of IT-dienst nu wel of niet ‘kritisch’ in de zin van DORA? Ook vinden sommige IT-dienstverleners niet dat ze kritische IT-diensten leveren aan financiële instellingen, terwijl de financiële instelling dit juist wel vinden. Daarbij komt dat de consequenties voor financiële instellingen groot zijn als zij niet aan DORA voldoen. Denk niet alleen aan boetes, maar ook aan reputatieschade en een afbreuk van het vertrouwen in de financiële sector. Kortom, hoewel het doel van DORA gericht is op het bestendig maken van IT binnen de financiële sector, levert dit in de praktijk nog veel vraagtekens op.

1.2. De contractelijke gevolgen van DORA

De gevolgen van DORA zijn talrijk. Zo moeten er uniforme regels komen voor ICT-risicobeheer, moeten instellingen periodieke weerbaarheidstesten uitvoeren en is er een verplichting voor het melden van ernstige ICT-incidenten aan toezichthouders DNB en/of AFM. Art. 3 lid 10 DORA definieert ernstige ICT-incidenten als incidenten die een grote nadelige impact hebben op de netwerken en informatiesystemen die kritieke of belangrijke functies van de financiële entiteit ondersteunen. Ook moet er meer toezicht op derde partijen komen (third-party risk management), moeten er continuïteits- en herstelplannen komen en moet er meer mogelijkheid en bereidheid komen tot vrijwillige informatie-uitwisseling over bijvoorbeeld cyberdreigingen en ICT-kwetsbaarheden. In hoofdlijnen heeft DORA de volgende praktische gevolgen voor IT-leveranciers en haar afnemers.

1.2.1. Aanpassen van lopende IT-contracten

Lopende IT-contracten moeten dusdanig aangepast worden dat aan de eisen van DORA voldaan wordt. Dit kon op een natuurlijk moment gebeuren, bijvoorbeeld bij de verlenging van een contact vóór 17 januari 2025. Indien zich echter geen natuurlijk moment aanbood, moe(s)t het contract tussentijds opengebroken worden. In de praktijk blijkt dit nog een hele uitdaging. Waar enkele partijen de eisen van DORA in het bestaande contract verdisconteren, hanteren de meeste partijen een standaard format (addendum) om het contract DORA-compliant te maken. Het probleem hierbij is dat er verschillende formats zijn en partijen in mening verschillen welk format zowel toepasselijk als het beste is. Partij X kan bijvoorbeeld aangeven dat zij haar format A wil hanteren. Tegenpartij Y geeft aan weer haar eigen format B te gebruiken. Dit zorgt voor veel vertraging, extra afspraken, contact met en advies van juridische afdelingen en risicoanalyses. Ook heeft dit eerder een negatief dan positief effect op de onderlinge relatie tussen partijen.

1.2.2. Nieuwe contracten DORA-compliant afsluiten

Ook hier geldt dat nieuw af te sluiten contracten aan DORA moeten voldoen. Het voordeel hiervan is dat partijen hun algemene voorwaarden dusdanig aan kunnen passen, dat het nieuwe contract direct DORA-compliant is. In de algemene voorwaarden kan bijvoorbeeld een verwijzing en automatische toestemming opgenomen worden naar een DORA-addendum of specifieke DORA artikelen. Het probleem hierbij is dat partijen vaak hun eigen algemene voorwaarden toepasselijk willen hebben en niet die van de tegenpartij.

Ook kunnen de door DORA ingegeven algemene voorwaarden van partijen tegenstrijdig zijn. Denk hierbij bijvoorbeeld aan de eis om de afnemer van de IT-dienst kosteloos informatie te verschaffen, indien de afnemer vanuit een toezichthouder als De Nederlandsche Bank informatie moet aanleveren. De IT-leverancier kan in haar eigen algemene voorwaarden opgenomen hebben dat zij de informatie in zo’n geval wel aanlevert, maar dat zij in redelijkheid gemaakte kosten hiervan in rekening mag brengen aan de afnemer.

1.2.3. Inzichtelijkheid in onderaannemers

DORA stelt het verplicht dat inzichtelijk is welke reeds uitbestede kritieke IT-diensten verder gesubcontracteerd zijn. Het moet inzichtelijk zijn welke partij(en) hiervoor de onderaannemer(s) (subcontractor(s)) is of zijn. Als een kritieke IT-dienst namelijk zomaar wordt uitbesteed aan de eerste de beste onderaannemer, levert dit een groot risico op voor de weerbaarheid van de financiële instelling. Het is belangrijk om te weten welke onderaannemers toegang hebben tot geheime bedrijfs- en/of privacygevoelige klantinformatie. Hebben onderaannemers enkel toegang tot de echt benodigde informatie? En wat gebeurt er als er een datalek is bij de onderaannemers? Weet men bijvoorbeeld hoe en met wie geschakeld moet worden bij een incident en hoe snel dit moet gebeuren? Kan een IT-dienstverlener zomaar een onderaannemer vervangen door een andere of heeft zij hiervoor toestemming nodig van de afnemer? En zo zijn er nog meer vragen die niet meteen beantwoord kunnen worden. Des te meer reden om inzichtelijk te maken wie nu echt de kritieke IT-diensten levert en wie verantwoordelijk is in het geval er iets mis gaat.

2. ITAM

2.1. Wat is ITAM?

IT Asset Management (ITAM) is een strategische discipline waarbij een organisatie haar IT-middelen (assets) op een systematische manier bijhoudt, beheert en optimaliseert gedurende de volledige levenscyclus ervan. IT-assets omvatten zowel hardware (zoals laptops, servers en printers) als software (zoals licenties en applicaties) en digitale middelen (zoals cloud abonnementen en virtuele machines). Vaak maakt een bedrijf gebruik van speciale ITAM-software om inzicht hierin te verkrijgen.

ITAM heeft meerdere doelen. De belangrijkste zijn:

  • Kostenbeheersing: een oog houden op uitgaven en het voorkomen van onnodige aankopen. Het is zonde om software Y te kopen, terwijl software X in huis is en hetzelfde biedt als software Y. Ook is het nuttig om eerst te kijken of er een eerder gebruikte laptop klaar ligt voor een nieuwe medewerker, voordat er een nieuwe laptop besteld wordt.
  • Compliance: het voldoen aan en naleven van (softwarelicentie)voorwaarden. Dit heeft als doel het inperken van auditrisico’s en de daarmee gepaarde financiële consequenties. Denk hierbij niet alleen aan het opgelegd krijgen van boetes, maar ook aan het met terugwerkende kracht moeten betalen voor de overconsumptie van licenties van de afgelopen jaren, de kosten voor het meewerken aan audits, eventuele gerechtelijke kosten en reputatieschade.
  • Beveiliging: het opsporen en beheren van niet-geautoriseerde of illegale software en verouderde hardware. Je wilt bijvoorbeeld voorkomen dat medewerkers illegale of mogelijk schadelijke software installeren, waardoor er een kans gecreëerd wordt dat er, al zij het onbedoeld, malware op de laptop geïnstalleerd wordt of het bedrijfsnetwerk binnenkomt.
  • Efficiëntie: het optimaal inzetten van de IT-assets om overcapaciteit of onderbenutting van de IT assets tegen te gaan. Het is nuttig om na te gaan of afdeling X elk jaar echt 1000 licenties voor software Y nodig heeft, of dat er maar 500 licenties gebruikt worden.
  • Levenscyclusbeheer: het beheren van IT-assets vanaf het moment van aankoop tot het moment van afschrijving of verwijdering. Hiermee kun je inzicht en voorspelbaarheid creëren in de toekomstige kosten en deze alvast opnemen in bijvoorbeeld een meerjarenplan. Ook kun je tijdig bestellingen voor nieuwe IT-assets plaatsen, waardoor het bedrijf ongehinderd kan blijven draaien. In paragraaf 2.3. wordt de IT Asset Levenscyclus uitvoeriger behandeld.

2.2. HAM, SAM en CAM

ITAM is een overkoepelende term en discipline. Kerncomponenten en deelgebieden van ITAM zijn Hardware Asset Management (HAM), Software Asset Management (SAM) en Cloud Asset Management (CAM).

Hardware Asset Management omvat het beheer van fysieke IT-assets. Denk hierbij aan servers, desktops, laptops, printers, mobiele apparaten en netwerkapparatuur. HAM ziet erop dat deze fysieke assets efficiënt worden gebruikt, onderhouden en aan het einde van hun levenscyclus op de juiste manier worden afgevoerd, in lijn met de geldende wet- en regelgeving. Voordat er nieuwe hardware wordt gekocht, wordt er nagegaan of er nog geschikte hardware in huis is. Mocht er dan toch overgegaan worden tot de aankoop van nieuwe hardware, dan wordt goed geregistreerd wat de afschrijving is, zodat er op tijd nieuwe hardware aangeschaft kan worden. Niet alleen wordt hiermee economische waarde verschaft, ook wordt er getracht zo duurzaam mogelijk te handelen door het hergebruik of elders inzetten van hardware.

Software Asset Management richt zich op het beheren en van software applicaties en software licenties. Het helpt organisaties ten eerste om het gebruik van software te optimaliseren en kosten te besparen, zodat de maximale waarde uit de IT-investeringen gehaald wordt. Ten tweede helpt het organisaties om compliant te worden en blijven en daarmee juridische risico’s te vermijden. Denk hierbij aan risico’s vanwege het niet voldoen aan de licentievoorwaarden. Niet alleen kunnen organisaties een boete krijgen voor het niet voldoen aan de licentievoorwaarden, ook kunnen zij een naheffing krijgen voor overconsumptie van de software.

Cloud Asset Management ziet op het beheren van cloudgebaseerde assets, abonnementen en bijbehorende kosten. Het zorgt ervoor dat cloud resources effectief en economisch worden gebruikt. Cloud assets zijn bijvoorbeeld servers, databases, software, licenties en data die beschikbaar gesteld worden in cloudomgevingen zoals Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform. Hierbij is van belang dat de assets goed geïnventariseerd, gemonitord en geautomatiseerd worden. Ook hier is het uiteindelijke doel kostenbeheersing en compliance, zowel gericht op het voldoen aan regelgeving als beveiligingseisen.

2.3. De IT Asset Levenscyclus

IT-assets, of deze nou hardware, software of cloud assets zijn, doorlopen elk een levenscyclus. Het begrijpen van deze levenscyclus is cruciaal voor effectief beheer van de IT-assets. De IT Asset Levenscyclus bevat de volgende fasen:

  • Planning: identificeer de behoefte aan nieuwe assets en plan daarna hoe je deze het best kunt verkrijgen. Kijk eerst of je de assets al in huis hebt, een geschikt alternatief voorhanden hebt, of dat de assets nog voorradig zijn op bijvoorbeeld een andere afdeling binnen het bedrijf.
  • Procurement: indien de assets nodig zijn en niet reeds in huis of elders binnen het bedrijf op voorraad, dan is de volgende stap de verwerving van de assets. Dit kan middels aankoop of huur. Een goede visie op de toekomst is in deze fase erg belangrijk om kosten te besparen. Weet je dat je de aankomende jaren gaat uitbreiden en meer werknemers in dienst gaat nemen? Koop dan hardware met korting in bulk in. Heb je licenties nodig voor een proof of concept en weet je nog niet zeker of je hiermee in de toekomst verder gaat? Schaf dan enkel de op dat moment benodigde licenties aan. Een ervaren inkoopafdeling is binnen elk bedrijf essentieel voor een goede kostenbeheersing.
  • Deployment: installeer en configureer de assets voor gebruik. Optimaliseer de configuratie om het meeste nut uit de asset te verkrijgen. Neem hiervoor de tijd, zeker bij nieuw aangeschafte assets die een lange tijd mee (moeten) gaan.
  • Utilization: gebruik de assets actief in de dagelijkse werkzaamheden. Kom je erachter dat je de asset niet of niet meer nodig hebt of niet volledig gebruikt, overweeg dan om deze, voor zover mogelijk, te retourneren, verkopen of te downgraden (bijvoorbeeld bij extra of plus (cloud) subscripties). Informeer bij je medewerkers en stakeholders of de assets naar behoren en hun verwachting werken.
  • Maintenance: update regelmatig de updates om beveiligingsrisico’s te mitigeren. Repareer en ondersteun de assets voor optimale prestaties en om tevredenheid van de gebruikers te creëren. Informeer na een update of reparatie bij je medewerkers en stakeholders of de assets weer naar behoren en verwachting werken. Zo niet, neem dan contact op met de verkopende partij van de assets. Kan de verkopende partij iets voor je betekenen of een vergoeding geven?
  • Retirement: stel assets buiten gebruik die niet langer nodig of functioneel zijn. Houd bij hardware goed de afschrijving bij. Check tijdig in de licentievoorwaarden van software of cloud assets wat de opzegtermijn is van de assets. Informeer bij de stakeholders wat hun plan is. Gaan de assets in de toekomst weer gebruikt worden, of moeten deze als back up bewaard worden?
  • Disposal: voer de assets die niet meer nodig of functioneel zijn af op een juiste manier. Waarborg hierbij de gegevensbeveiling en leef de geldende milieuregels na. Bij het afvoeren van bijvoorbeeld een laptop is het cruciaal dat met name de bedrijfsgevoelige en privacy gevoelige informatie eerst volledig gewist wordt, voordat deze aan de afvoerende partij worden meegegeven. Ga na of de afvoerende partij zich aan de geldende milieuregels houdt.

2.4. Best practices voor ITAM

Om goede IT Asset Management te voeren, is het volgen van best practices noodzakelijk. De volgende best practices geven in hoofdlijnen aan wat een bedrijf moet doen om effectief IT Asset Management te voeren:

  • Bijhouden van een nauwkeurige voorraad: houdt een gedetailleerd en actueel overzicht bij van alle IT-assets binnen de organisatie. Als je niet weet wat je hebt, kun je het ook niet beheren. Ook is het essentieel voor cybersecurity om te weten wat je hebt en waar het geïnstalleerd is. Gebruik specialistische tools om softwaregebruik te meten. Voorkom onder- en overlicentiëring zo veel mogelijk.
  • Automatiseren van asset discovery: gebruik een centrale ITAM-tool om assets binnen het netwerk automatisch te detecteren en volgen. Gebruik hierbij agent-based en agentless discovery tools om real-time zicht te krijgen op je hard- en software. Voorkom schaduw IT door regelmatig het netwerk te scannen. Zorg voor integratie met de Configuration Management Database (CMDB), IT Service Management (ITSM), software deployment tools en financiële systemen binnen het bedrijf. Vergroot je compliance door integratie van ITAM met cybersecurityprocessen en voldoe aan regelgeving en richtlijnen zoals de Algemene Verordening Gegevensbescherming en de ITAM-standaard ISO 19770.
  • Standaardiseer processen: ontwikkel duidelijke beleidslijnen en procedures voor het beheer van de IT-assets. Definieer wat je met je ITAM wilt bereiken en zorg ervoor dat dit aansluit op organisatorische lange termijn doelstellingen, zoals beschreven in IT-strategieën. Voorbeelden zijn kostenbesparing, compliance of beveiligingsrisicovermindering. Ontwikkel het beleid en koppel dit aan bredere ITSM-processen en governance-structuren.
  • Definieer rollen en verantwoordelijkheden: zorg voor een heldere taakverdeling tussen de IT-, inkoop-, financiële- en juridische afdelingen. Wijs asset owners en beheerders toe. Organiseer contactmomenten tussen de verschillende afdelingen en verbind deze met elkaar.
  • Implementeer lifecycle-management: beheer de IT-assets volledig van begin (procurement) tot eind (disposal). Zie hiervoor paragraaf 2.3.
  • Audit regelmatig intern: voer periodieke fysieke en digitale interne audits uit om compliance te waarborgen en verbeterpunten te identificeren. Vergelijk hierbij de werkelijke inventaris met de administratieve data. Corrigeer afwijkingen en update de documentatie.
  • Train personeel: bewustwording begint pas bij training van het personeel over het ITAM-beleid en het belang van IT Asset Management. Leer betrokken medewerkers de manier waarop zij assets correct kunnen registreren. Implementeer ITAM in IT-opleidingen, e-learnings en de onboarding van nieuwe medewerkers.
  • Meet en rapporteer: stel Key Performance Indicators (KPI’s) op. Denk hierbij aan licentie-compliance, asset-accuratesse, dekkingspercentage van alle assets in de ITAM-tooling en afgeschreven maar nog wel actieve assets. Maak prestaties hierdoor meetbaar en gebruik dashboards voor inzicht en sturing.

3. Hoe ITAM bijdraagt aan het voldoen aan DORA

3.1. Ondersteuning van ICT-risicobeheer

Art. 5 t/m 10 DORA beschrijven verplichtingen op het gebied van ICT-risicobeheer. Zo moeten financiële entiteiten beschikken over een intern governance- en controlekader dat een doeltreffend en prudent beheer van het ICT-risico waarborgt, teneinde een hoog niveau van digitale operationele weerbaarheid te verkrijgen (art. 5.1. DORA). Ook moeten financiële entiteiten beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer, als onderdeel van hun algemeen risicobeheersysteem, dat hen in staat stelt ICT-risico snel, efficiënt en zo volledig mogelijk aan te pakken en een hoog niveau van digitale operationele weerbaarheid te waarborgen (art. 6.1. DORA).

Art. 7 DORA vereist dat financiële entiteiten geactualiseerde ICT-systemen, -protocollen en -instrumenten gebruiken om ICT-risico aan te pakken en te beheren. Art. 8.1. DORA verplicht financiële entiteiten naar behoren alle door ICT ondersteunde bedrijfsfuncties, taken en verantwoordelijkheden, de informatie- en ICT-activa die deze functies ondersteunen, en hun taken en afhankelijkheden met betrekking tot ICT-risico’s te classificeren en documenteren. Ook moeten financiële entiteiten voortdurend de beveiliging en werking van de ICT-systemen en -instrumenten monitoren en controleren en de effecten van ICT-risico op ICT-systemen beperken door de inzet van passende ICT-beveiligingsinstrumenten, -beleidslijnen en -procedures (art. 9 DORA).

De bij DORA behorende Regulatory Technical Standards (RTS) geeft in art. 4 (ICT asset management policy) invulling aan de manier waarop aan de verplichtingen van art. 8 en 9 DORA voldaan moet worden. Er moet een beleid komen voor het managen van de ICT-assets. In dat beleid wordt dan opgenomen dat een financiële entiteit informatie verzamelt over en documentatie bijhoudt van de ICT-asset. Het gaat om ICT-assetinformatie met betrekking tot het unieke identificatiekenmerk, de locatie, de classificatie, de eigenaar, de door de ICT-asset ondersteunde business- of dienstverleningsfuncties, business continuïteitsvereisten inclusief RTO’s en RPO’s (zie 3.2.), de blootstelling aan externe netwerken en internet, de afhankelijkheid van andere ICT-assets en business functies en eventueel de einddatum van de support van derde partijen bij problemen met de ICT-asset.

Art. 10 DORA verplicht financiële instellingen te beschikken over mechanismen om afwijkende activiteiten zo spoedig mogelijk te detecteren, met inbegrip van kwesties op het gebied van ICT-netwerkprestaties en ICT-gerelateerde incidenten, en om potentiële zwakke fysieke punten te identificeren.

ITAM draagt bij aan bovenstaande verplichtingen door een volledig en actueel overzicht van IT-assets mogelijk te maken en is cruciaal voor het kunnen voldoen aan art. 8 en 9 DORA en de eisen zoals opgenomen in art. 4 van de bijbehorende RTS. Het helpt in het bijzonder door kwetsbaarheden te identificeren van bijvoorbeeld verouderde software of systemen die geen support meer hebben, of waarvan deze binnenkort verloopt. Ook helpt ITAM bij het classificeren van kritieke assets en het in kaart brengen van afhankelijkheden, bijvoorbeeld tussen applicaties, infrastructuur en leveranciers. Bovenstaande is essentieel is voor het voldoen aan de vereisten van DORA en de RTS en het beoordelen van ICT-risico’s. Op deze manier draagt ITAM bij aan de ondersteuning van ICT-risicobeheer.

3.2. Continuïteits- en herstelplanning

Art. 11 en 12 DORA regelen bepalingen met betrekking tot respons en herstel, back-upbeleid en back-upprocedures, terugzettingsprocedures, herstelprocedures en herstelmethoden. Zo bepaalt art. 11 DORA dat financiële entiteiten een alomvattend ICT-bedrijfscontinuïteitsbeleid moeten voeren, met bijbehorende ICT-respons- en herstelplannen die onderworpen zijn aan onafhankelijke interne audits. Belangrijk is ook dat financiële entiteiten passende ICT-bedrijfscontinuïteitsplannen invoeren en handhaven en zorgdragen voor periodieke tests, met name wat betreft kritieke of belangrijke functies die zijn uitbesteed of via contractuele overeenkomsten met derde aanbieders van ICT-diensten zijn overeengekomen (zie verder hiervoor 3.5.). Ook moeten financiële instellingen een bedrijfsimplactanalyse (BIA) uitvoeren van hun blootstelling aan ernstige verstoringen van de bedrijfsactiviteiten.

Art. 12 DORA verplicht financiële entiteiten, als onderdeel van hun kader voor ICT-risicobeheer, dat zij back-upbeleid en -procedures en terugzettings- en herstelprocedures en -methoden ontwikkelen en documenteren. Hiermee kunnen ze verzekeren dat ICT-systemen en gegevens teruggezet kunnen worden met een minimale uitval en een beperkte verstoring en verlies. Hiervoor moeten ICT-capaciteiten in reserve worden gehouden. Bij herstel van een ICT-gerelateerd incident moet alles met de benodigde controles gebeuren, om ervoor te zorgen dat het hoogste niveau van gegevensintegriteit wordt gehandhaafd.

ITAM maakt het mogelijk om, in het kader van continuïteits- en herstelplanning, snel te herstellen van verstoringen, aangezien duidelijk is welke assets nodig zijn voor kritieke processen. Ook maakt ITAM het mogelijk om Recovery Time Objectives (RTO’s) en Recovery Point Objectives (RPO’s) toe te passen op basis van de assetkritikaliteit. Hierdoor wordt duidelijk wat er gedaan moet worden om weer op het niveau te komen van vóór de verstoringen en binnen welk tijdsperiode dit moet gebeuren.

3.3. Incidentrespons en -rapportage

Art. 17 t/m 19 DORA beschrijven verplichtingen op het gebied van incidentrespons en -rapportage. Zo vereist art. 17.1. DORA dat financiële entiteiten een beheerproces voor ICT-gerelateerde incidenten omschrijven, vaststellen en ten uitvoer leggen, om ICT-gerelateerde incidenten te detecteren, beheren en melden. Ook moeten ze alle ICT-gerelateerde incidenten en significante cyberdreigingen registreren. Daarnaast moeten ze passende procedures en processen vaststellen voor een consistente en geïntegreerde monitoring, behandeling en follow-up van ICT-gerelateerde incidenten, om ervoor te zorgen dat onderliggende oorzaken worden opgespoord, gedocumenteerde en weggenomen teneinde dergelijke incidenten te voorkomen (art. 17.2. DORA).

Art. 18 DORA beschrijft hoe financiële entiteiten ICT-gerelateerde incidenten moeten classificeren en de effecten daarvan bepalen. Art. 19 bepaalt verder hoe financiële entiteiten ernstige ICT-gerelateerde incidenten moeten melden aan de relevante bevoegde autoriteit en eventueel hun cliënten.

In geval van een incident moet snel vastgesteld kunnen worden welk systeem of component getroffen is en wie intern of extern verantwoordelijk is voor het beheer ervan. ITAM zorgt voor een versnelling van forensisch onderzoek en verkorting van de reactietijd, doordat het duidelijke assetinformatie en beheerverantwoordelijkheid beschikbaar stelt. Op deze manier draagt ITAM bij aan de door DORA gestelde verplichtingen ten aanzien van incidentrespons en -rapportage.

3.4. Ondersteuning van operationele weerbaarheidstesten

Art. 24 t/m 27 DORA beschrijven verplichtingen ten aanzien van het testen van de operationele weerbaarheid. Art. 24.1. DORA geeft aan dat financiële instellingen een degelijk en alomvattend programma voor het testen van de digitale operationele weerbaarheid moeten vaststellen, handhaven en evalueren. Dit moet als onderdeel geïntegreerd worden in het kader voor ICT-risicobeheer, zoals hiervoor in 3.1. behandeld. Art. 25 DORA beschrijft verder wat voor inhoud het testprogramma moet hebben.

Art. 26 DORA geeft aan wanneer en op welke manier financiële entiteiten geavanceerde tests uit moeten voeren door middel van Threat Led Penetration Testing (TLPT). In TLPT worden realistische cyberaanvallen gesimuleerd. De test doorloopt een vast testproces, met vaste tijdslijnen en een aantal verplicht op te leveren documenten. Deze onderdelen zijn vereist om de test op een gecontroleerde manier te laten verlopen en te voldoen aan de wettelijke eisen uit de DORA-verordening. Art. 27 DORA geeft tot slot vereisten aan het gebruik van testers voor het uitvoeren van TLPT.

ITAM is noodzakelijk voor het selecteren van de systemen die getest moeten worden. Denk hierbij niet alleen aan systemen met een hoge impact, zoals klantportalen en betalingsverkeersystemen, maar ook aan systemen die dus onder TLPT vallen. ITAM helpt verder bij het voorbereiden van de tests, omdat met een deugdelijk ITAM bekend is welke software waar draait, en welke versies in gebruik zijn.

3.5. Toezicht op derde partijen

Tot slot bevatten art. 28 t/m 30 DORA verplichtingen ten aanzien van het toezicht dat financiële entiteiten moeten houden op derde partijen. Art. 28 DORA bevat algemene beginselen met betrekking tot verantwoordelijkheid, evenredigheid en inzichtelijkheid. Ook beschrijft het verplichtingen ten aanzien van het sluiten van een contractuele overeenkomst voor het gebruik van ICT-diensten, in het specifiek voor ICT-diensten die een kritieke of belangrijke functie ondersteunen.

Art. 29 DORA geeft bepalingen over voorlopige beoordelingen van het ICT-concentratierisico op entiteitsniveau. Zo moet een financiële entiteit er rekening mee houden dat er een situatie is of kan ontstaan waarin zij zeer afhankelijk is van een derde partij, bijvoorbeeld als de derde partij een kritieke of belangrijke functie levert die niet gemakkelijk substitueerbaar is of als de derde partij ook al andere (kritieke of belangrijke) diensten levert.

Art. 30 DORA geeft tot slot verplichtingen over belangrijke contractuele bepalingen. Deze zijn uitgebreider indien het gaat om contracten waarin kritieke of belangrijke functies gecontracteerd worden.

In de praktijk worden veel assets geleverd en/of beheerd door derde partijen. Denk hierbij aan System as a Service (SaaS) applicaties of cloudinfrastructuren. Een deugdelijk ITAM geeft onder andere zicht op de externe leveranciers (derde partijen) waar een financiële entiteit dienstverlening van afneemt. In het specifiek moet hierbij ook aangegeven worden of er weer taken gesubcontracteerd zijn aan andere partijen, zoals hiervoor in 1.3.3. besproken is. Daarnaast geeft het zicht op welke diensten en systemen die derde partijen of hun onderaannemers ondersteunen. Tot slot maakt ITAM inzichtelijk of de juiste contractuele en beveiligingsmaatregelen zijn getroffen, zoals in art. 30 DORA opgesomd staan.

4. Conclusie

IT Asset Management is een fundament voor het effectief uitvoeren van de verplichtingen die uit de Digital Operational Resilience Act voortvloeien. Zonder een nauwkeurige en actuele inventaris van digitale assets in het nagenoeg onmogelijk om DORA-compliant te zijn op het gebied van ICT-risicobeheer, continuïteit en herstel, incidentrespons en -rapportage, testen van operationele weerbaarheid en ICT-uitbesteding aan derde partijen.