search_api_autocomplete
Home

Tests van digitale operationele weerbaarheid

Doelstelling van de tests van Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. is het beoordelen van het vermogen van een organisatie om haar activiteiten verder te blijven uitvoeren en om zich snel te herstellen bij ernstige verstoringen, zoals een cyberaanval, een systeemstoring of een natuurramp.

De tests maken het mogelijk de kwetsbaarheden van de responssystemen, -procedures en -protocollen onder de aandacht te brengen, zodat ze kunnen worden gecorrigeerd en de weerbaarheid van de organisatie tegen digitale incidenten en Elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan schaden, verstoren of op andere wijze negatief kan beïnvloeden kan worden vergroot. Bij het uitvoeren van de tests van Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. moet steeds rekening worden gehouden met het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. .

Bepaalde testvereisten worden nader gedetailleerd door de Europese toezichthoudende autoriteiten in technische reguleringsnormen (Regulatory Technical Standards (RTS)) en technische uitvoeringsnormen (Implementing Technical Standards (ITS)).
 

Kwalificatie als micro-onderneming

Tal van bepalingen over de tests op Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. gelden niet voor Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. . Daarom is het aangewezen om vooraf te controleren of een entiteit als micro-onderneming kan worden gekwalificeerd. Kan ze effectief als micro-onderneming worden gekwalificeerd, dan zal ze een aantal vrijstellingen genieten.

In onderstaande vragen vindt u meer informatie over de tests op Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. .

  • 1. Welke algemene vereisten gelden voor de uitvoering van tests op digitale operationele weerbaarheid door de (andere) financiële entiteiten (dan micro-ondernemingen)?

    Voor de beoordeling van de paraatheid ten aanzien van de behandeling van ICT-gerelateerde incidenten, de omschrijving van zwakheden, gebreken en lacunes in de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. , en de snelle uitvoering van corrigerende maatregelen zorgen de financiële entiteiten voor het vaststellen, handhaven en evalueren, met toepassing van het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , van een degelijk en alomvattend programma voor het testen van de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. als onderdeel van het kader voor ICT-risicobeheer.

    Het testprogramma voor Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. omvat een reeks beoordelingen, tests, methodologieën, praktijken en instrumenten die moeten worden toegepast.

    Bij de uitvoering van het programma voor het testen van de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. volgen de financiële entiteiten een risicogebaseerde benadering, waarbij rekening wordt gehouden met het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. ,  met het veranderende landschap van het ICT-risico, eventuele specifieke risico’s waaraan de betrokken financiële entiteit wordt of kan worden blootgesteld, de Het kritieke karakter van informatie- en ICT-assets verwijst naar het belang en de gevoeligheid van de informatie binnen een organisatie, gemeten aan de hand van de potentiële impact die het verlies, de aantasting of de onbeschikbaarheid ervan heeft op de activiteiten en de beveiliging van de onderneming. van Informatie- en ICT-assets zijn elk gegeven dat, elke informatie die of elk computersysteem dat van waarde is voor een organisatie, en een passende bescherming vereist. en verleende diensten, alsmede met alle andere factoren die de financiële entiteit passend acht.

    De financiële entiteiten zorgen ervoor dat de tests worden uitgevoerd door interne of externe onafhankelijke partijen. Wanneer de tests door een interne tester worden uitgevoerd, zetten de financiële entiteiten voldoende middelen in en zorgen zij ervoor dat belangenconflicten gedurende de hele ontwerp- en uitvoeringsfase van de test worden voorkomen. De financiële entiteiten stellen procedures en beleidslijnen vast om alle problemen die tijdens de uitvoering van de tests aan het licht zijn gekomen, te prioriteren, te classificeren en te verhelpen, en stellen interne valideringsmethoden vast om na te gaan of alle vastgestelde zwakheden, gebreken of lacunes volledig worden aangepakt.

    De financiële entiteiten zorgen ervoor dat ten minste eenmaal per jaar passende tests worden uitgevoerd op alle ICT-systemen en -toepassingen die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen.  

    Het verslag dat naar aanleiding van een weerbaarheidstest wordt opgesteld, moet:

    • de kwetsbaarheden rangschikken naar prioriteit; 
    • de kwetsbaarheden classificeren in functie van hun dreigingsniveau;
    • de kwetsbaarheden exhaustief beschrijven;
    • een gedetailleerde beschrijving en een auditpiste, of audit trail, bevatten van alle tijdens de test uitgevoerde activiteiten en van hun resultaten. Dit zal de IT-medewerkers in staat stellen om specifieke kwetsbaarheden opnieuw te testen na de tenuitvoerlegging van een corrigerende maatregel.

    Voor elke vastgestelde kwetsbaarheid moet:

    • een actieplan worden opgesteld, met een toegewezen prioriteitsniveau;
    • een persoon worden aangesteld om die kwetsbaarheid te verhelpen, 
    • een deadline bepaald worden,
    • een IT-ticket worden aangemaakt om de follow-up van de voortgang en de afronding van elke taak te vergemakkelijken. Doelstelling is te vermijden dat dezelfde kwetsbaarheden in opeenvolgende tests opnieuw opduiken. 

    Na de eventuele zwakheden te hebben gecorrigeerd, moet de financiële entiteit interne valideringsmethoden toepassen om te checken of de aangebrachte correcties de kwetsbaarheden effectief hebben opgelost. Ze moet het scenario waarbij de kwetsbaarheid aan het licht is gekomen, opnieuw simuleren om de doeltreffendheid van aangebrachte correctie te garanderen. 

  • 2. Welke tests moeten de financiële entiteiten uitvoeren op het vlak van de aan ICT-diensten verbonden risico’s?

    Het testprogramma voor Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. voorziet, overeenkomstig het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , in de uitvoering van passende tests, zoals:

    • Kwetsbaarheidsbeoordelingen en –scans (vulnerability assessments and scans)
      Aan de hand van de kwetsbaarheidsbeoordeling (vulnerability assessments) kunnen de organisaties in hun systemen potentiële zwakheden zoeken inzake beveiliging. Deel van deze aanpak is een analyse van de kwetsbaarheden (vulnerabilities) die tot doel heeft te bepalen of de onderneming aan bekende kwetsbaarheden (vulnerabilities) is blootgesteld. Daarbij kent zij een ernstniveau toe aan die kwetsbaarheden (vulnerabilities), en formuleert ze aanbevelingen in verband met de noodzaak om een geïdentificeerde dreiging te beperken of te corrigeren.
    • Open-source analyses
      De entiteit moet een catalogus opstellen en bijhouden van de gebruikte “open-source” bibliotheken (open-source libraries) en toepassingen (open-source applications). Die catalogus zal worden gebruikt bij de identificatie van de gekende kwetsbaarheden (vulnerabilities) waaraan onderdelen van ICT-assets die gebruik maken van deze bibliotheken en toepassingen mogelijk zijn blootgesteld. Deze oefening moet regelmatig worden uitgevoerd en dit naarmate nieuwe kwetsbaarheden (vulnerabilities) worden ontdekt en gepubliceerd.
    • Beoordelingen van netwerkbeveiliging (network security assessments)
      De beveiligingstests van het netwerk worden uitgerold om de goede werking van alle genomen beveiligingsmaatregelen te garanderen. Deze tests worden doorgaans uitgevoerd tijdens de fases van implementatie en ingebruikname, eens het systeem is ontwikkeld, geïnstalleerd en geïntegreerd.
    • Kloofanalyses (gap analyses)
      De kloofanalyse (gap analysis) biedt de entiteiten een perspectief om op de beste manier hun doelstellingen te verwezenlijken. Bij deze analyse wordt de huidige stand van zaken vergeleken met de ideale stand van zaken of met doelstellingen, waarbij wordt gefocust op lacunes en verbeterpunten. 
    • Beoordelingen (assessments) van fysieke beveiliging
      De fysieke beveiliging is een essentieel onderdeel van het beheer van een financiële entiteit en impliceert de implementatie van beveiligingsmaatregelen, zoals de plaatsing van sloten en camera’s, en de vaststelling van processen en procedures voor het beheer van de toegang tot de gebouwen en de bewaking van de gebouwen. De beoordeling (assessment) van de fysieke beveiliging maakt het mogelijk om het niveau van bescherming van het gebouw en de aanwezigen in het gebouw te bepalen tegen verschillende dreigingen zoals vandalisme, diefstal, spionage of terrorisme.
    • Vragenlijsten en scanningsoftware­oplossingen (scanning software solutions)
      Het scannen van het netwerk strekt ertoe de IP-adressen en de open poorten te identificeren op de actieve hosts, de gebruikte besturingssystemen (operating systems) en de architectuur van het doelsysteem. Met deze techniek kunnen ook de actieve diensten van het netwerk worden opgespoord en de mogelijke kwetsbaarheden (vulnerabilities) aan het licht worden gebracht.
    • Beoordelingen van broncodes (Source code review) indien mogelijk
      Beoordeling van broncodes (Source code review) verwijst naar het systematische onderzoek van de broncode van een software. Bedoeling is bugs of potentiële kwetsbaarheden (vulnerabilities) aan het licht te brengen, en de ontwerpfouten te corrigeren om zo de kwaliteit, de onderhoudsmogelijkheden en de beveiliging van de software te verbeteren.
    • Scenariogebaseerde tests
      Scenariogebaseerde tests zijn een gespecialiseerde vorm van proactieve beveiligingsbeoordeling. In tegenstelling tot de traditionele penetratietests die naar kwetsbaarheden (vulnerabilities) zoeken, beoordelen de scenariogebaseerde tests de resultaten van de cyberbeveiligingscontroles in het licht van specifieke vijandige tactieken en gedragingen.
    • Compatibiliteitstests
      Via de compatibiliteitstest wordt nagegaan of een softwareapplicatie correct functioneert met de andere toepassingen, de verschillende browsers, databanken, besturingssystemen (operating systems), mobiele apparaten, netwerken en hardware.
    • Prestatietests (performance testing)
      Via de prestatietest (performance testing) worden de prestaties van een computersysteem beoordeeld, met name door de responstijd te meten in functie van de aanvraag. De verzamelde informatie betreft de responstijden van de gebruikers, de responstijden van het netwerk en de nodige tijd om een aanvraag op de browser(s) te verwerken.
    • Eind-tot-eindtests (end-to-end tests)
      Via de techniek van de eind-tot-eindtests (end-to-end tests) kan worden bepaald of een applicatie (mobiele applicatie, website, ...) zich – van begin tot einde – conform de verwachtingen van de gebruiker gedraagt. De tester kruipt in de huid van de gebruiker, waarbij hij de tests uitvoert alsof hij de beschikbare tool effectief gebruikt. Deze techniek controleert de functionaliteit van het front-end en bevestigt de kwaliteit van de integratie met de andere webdiensten en met het back-end. Deze tests worden doorgaans uitgevoerd na de functionele tests en na de bevestiging van de betrouwbaarheid van het systeem, net voor de lancering van de website of de mobiele applicatie.
    • Penetratietests
      De penetratietest is een methode voor de beoordeling van de beveiliging van een informatiesysteem of een computernetwerk. Deze methode omvat in eerste instantie een verkenningsfase, waarbij de infrastructuur van een computernetwerk doorgaans wordt geanalyseerd, waarna, in een tweede exploitatiefase, een aanval van een kwaadwillende gebruiker of van malware wordt gesimuleerd. 

    De Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. voeren voornoemde tests uit op basis van een combinatie van een op risico’s gebaseerde aanpak en een strategische planning van ICT-tests. Daarbij houden ze naar behoren rekening met het noodzakelijke evenwicht tussen enerzijds de hoeveelheid middelen en tijd die aan de in dit artikel bedoelde ICT-tests moet worden toegewezen, en anderzijds de urgentie, het soort risico, de Het kritieke karakter van informatie- en ICT-assets verwijst naar het belang en de gevoeligheid van de informatie binnen een organisatie, gemeten aan de hand van de potentiële impact die het verlies, de aantasting of de onbeschikbaarheid ervan heeft op de activiteiten en de beveiliging van de onderneming. van de Informatie- en ICT-assets zijn elk gegeven dat, elke informatie die of elk computersysteem dat van waarde is voor een organisatie, en een passende bescherming vereist. en van de geleverde diensten, alsmede alle andere relevante factoren, met inbegrip van het vermogen van de financiële entiteit om berekende risico’s te nemen.

  • 3. Welke entiteiten moeten geavanceerde dreigingsgestuurde penetratietests (threat-led penetration tests) uitvoeren?

    DORA verplicht bepaalde entiteiten om geavanceerde dreigingsgestuurde penetratietests (threat-led penetration tests) uit te voeren. Deze verplichting zal enkel gelden voor financiële entiteiten die zijn geselecteerd op basis van een beoordeling van de volgende elementen:

    1. effectgerelateerde factoren, met name de mate waarin de diensten en de activiteiten van de financiële entiteit effecten hebben op de financiële sector;
    2. mogelijke bezorgdheid over financiële stabiliteit, met inbegrip van het systemische karakter van de financiële entiteit op Unieniveau of op nationaal niveau, indien van toepassing;
    3. het specifieke ICT-risicoprofiel, het niveau van maturiteit inzake ICT van de financiële entiteit of de technologische kenmerken in het geding.

    Overigens geldt de verplichting om geavanceerde dreigingsgestuurde penetratietests (threat-led penetration tests) uit te voeren niet voor kleine en niet-verweven beleggingsondernemingen, Een instelling voor bedrijfspensioenvoorziening die samen niet meer dan 100 aangeslotenen heeft. en Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. .

    Op deze regeling wordt niet dieper ingegaan in deze documentatie.