De verordening (EU) 2022/2554 - Digital Operational Resilience Act (DORA) - is sinds januari 2025 van kracht. Als je een CISO, IT Risk lead of Compliance Architect bent bij een gereguleerde financiële entiteit, ben je al op de hoogte. De vraag die de meeste bedrijven nog niet hebben beantwoord, is bedrieglijk specifiek: wat doet vraag naar verifieerbare gegevensintegriteit van uw ICT-stapel? Uit een onderzoek bleek dat 96% van de bedrijven in EMEA vindt hun huidige niveau van digitale veerkracht onvoldoende.
Hier kun je versterken en leren:
- wat de integriteitsnorm van DORA zegt - in zijn eigen taal;
- waar standaardsystemen tekortschieten;
- hoe een technisch verdedigbare integriteitscontrole eruit ziet;
- en welke operationele tools de beschikbaarheid en continuïteitsverplichtingen aanpakken die daarmee gepaard gaan.
Wat DORA eigenlijk zegt over gegevensintegriteit
DORA gebruikt integriteit als een specifieke, terugkerende verplichting - niet als een algemeen beginsel. Artikel 9, lid 2, stelt de basislijn vast:
"Financiële entiteiten ontwerpen, kopen en implementeren ICT-beveiligingsbeleid, -procedures, -protocollen en -instrumenten ... om hoge normen handhaven voor beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, in rust, in gebruik of onderweg."
Artikel 12, lid 7, stelt het plafond vast:
"Bij het herstellen van een ICT-gerelateerd incident voeren financiële entiteiten de nodige controles uit, inclusief meervoudige controles en aansluitingen, om ervoor zorgen dat de gegevensintegriteit op het hoogste niveau wordt gehandhaafd."
Deze afstemmingsverplichting vereist een vast referentiepunt - een onafhankelijk verifieerbare basislijn voor integriteit waaraan herstelde gegevens kunnen worden getoetst. Artikel 18, lid 1, onder d), koppelt integriteit aan incidentclassificatie. Artikel 30, lid 2, onder c), breidt de verplichting uit tot ICT-contracten met derden. Gegevensintegriteit is een systemische vereiste voor al uw activiteiten en uw toeleveringsketen.
De kloof die de meeste bedrijven niet hebben genoemd
De meeste gereguleerde entiteiten hebben al SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 of gelijkwaardige platforms die toegangslogs, versiegeschiedenissen en tijdstempels produceren. De aanname is dat dit een adequate integriteitscontrole is. Dat is niet het geval.
ENISA'De technische standaarden die in kaart zijn gebracht in het kader van de EU Cyber Resilience Act stellen dat de integriteit van gegevens "moet worden gewaarborgd met behulp van de huidige, niet verouderde technologie" en dat systemen moeten worden ontworpen met "bescherming van bewijsmateriaal in gedachten" - omdat als de toegang tot logboeken is gecompromitteerd, kan een aanvaller zijn sporen wissen.
Een intern logboek dat binnen hetzelfde systeem is opgeslagen, kan worden gewijzigd. Het is niet manipuleerbaar. Als een toezichthouder je vraagt om te bewijzen dat een bestand op een bepaald moment in een bepaalde staat was en sindsdien niet is gewijzigd, dan geeft een interne tijdstempel geen onafhankelijk antwoord op die vraag. GDPR artikel 5, lid 2 legt de bewijslast bij de regelaar: naleving aantonen - niet beweren.
Hoe controleerbare integriteit er eigenlijk uitziet
DORA schrijft geen technische methode voor. Het schrijft een resultaat voor: gegevens die authentiek, traceerbaar, onvervalsbaar en onafhankelijk verifieerbaar zijn gedurende de gehele levenscyclus.
Een technisch verdedigbaar pad is cryptografische hashverankering. Een vingerafdruk van het bestand wordt gegenereerd op het punt van creatie of laatste geautoriseerde wijziging en verankerd in een onveranderlijk openbaar grootboek. De inhoud van het document komt nooit in de keten terecht - vertrouwelijkheid wordt door het ontwerp bewaard. Elke volgende wijziging produceert een andere hash. De divergentie is wiskundig zeker en onafhankelijk verifieerbaar zonder toegang tot gevoelige inhoud.
De Financieel Stabiliteitsdocument 2024 van de Bank of England over operationele veerkracht merkte op dat financiële bedrijven "het potentieel van gedistribueerde grootboektechnologie aan het onderzoeken zijn om efficiëntie te brengen in financiële processen en transacties... het zal waarschijnlijk ook toepassingen hebben in het traditionele financiële systeem"."
Truth Enforcer operationaliseert dit: hashverankering aan een openbare blockchain, onmiddellijke detectie van sabotage, onafhankelijke verificatie zonder blootstelling van inhoud en integratie met SharePoint, Salesforce, Google Workspace en anderen. Het zet de integriteitverplichting van het DORA om van een beleidsverklaring in een bewijsbaar en controleerbaar feit..
Integriteit in operationele veerkracht en risicobeheer
Artikel 5(2) van de DORA plaatst ICT-risicobeheer op directieniveau. Het bestuursorgaan moet het bedrijfscontinuïteitsbeleid en de herstelplannen goedkeuren, overzien en beoordelen. Deloitte omkadert het mandaat directBedrijven moeten aantonen dat ze "bestand zijn tegen, kunnen reageren op en herstellen van alle soorten ICT-gerelateerde verstoringen en bedreigingen"."
Hash-geankerde integriteitsrecords en realtime sync continuïteitslogboeken zijn geen technologische voorkeuren. Het zijn gedocumenteerd bewijs van naleving met verplichtingen waarop het bestuur wettelijk verplicht is toezicht te houden. Het GDPR-beginsel van verantwoordingsplicht sluit het pleit: de bewijslast ligt bij je organisatie en die moet de toetsing doorstaan.
De integriteitsnorm van DORA is direct en al van kracht. De meeste financiële instellingen hebben toegangslogboeken. De meeste hebben geen onafhankelijk verifieerbare, manipuleerbare integriteitsgegevens. Dat is de kloof.
Uw ICT-risicoraamwerk moet in staat zijn om een onafhankelijk verifieerbare integriteitsregistratie te produceren voor een specifiek bestand op een specifiek tijdstip, dat is het standaardniveau dat u wilt - het hoogste.
.
Neem contact met ons op voor DORA-integriteitsstandaard: https://www.connecting-software.com/truth-enforcer-sign-up/
OF
Probeer het GRATIS:
Waarheidscontroleur voor IP-makers: https://truth-verifier.com/landing
Waarheidscontroleur voor journalisten: https://truthverifier.news/landing
.
Ontdek Microsoft Synchronisatie voor bedrijfscontinuïteit en beschikbaarheid: https://www.connecting-software.com/microsoft-synchronization/
Door Francisco Rodrigues, Product Manager
"Ik schrijf over hoe software-integraties zich kunnen aanpassen aan bedrijfsomgevingen en kunnen inspelen op branchespecifieke eisen. Ik wil ondernemingen de weg wijzen om processen te stroomlijnen, knelpunten te elimineren en compliance te garanderen door teams en C-suite executives te voorzien van de juiste tools."