Per Sector

    Financiële Dienstverlening Beveiliging

    Banken, verzekeraars en financiële instellingen opereren onder strenge regelgeving waaronder DORA en PCI-DSS, en zijn een primair doelwit voor geavanceerde fraude en supply chain-aanvallen. Beveiliging en compliance voor de financiële sector, afgestemd op wat toezichthouders vandaag verwachten.

    Assessment AanvragenCompliance Testen
    Compliance Frameworks
    DORA (Digital Operational Resilience Act)
    PCI-DSS
    NIS2-richtlijn
    DNB-richtlijnen
    EBA/ESMA-vereisten

    Uitdagingen in de Financiële Sector

    DORA-compliancevereisten (van kracht per 17 januari 2025)
    PCI-DSS voor betalingsverwerking
    Geavanceerde financiële fraudedreigingen
    Derde partij- en supply chain-risico's
    Realtime transactiebeveiliging
    Rapportagevereisten voor toezichthouders

    DORA: van kracht per januari 2025

    DORA is van toepassing op alle financiële entiteiten die in de EU actief zijn per 17 januari 2025. Het is huidige wet, geen toekomstige verplichting. De vier pijlers hieronder mappen direct op Sectricity-diensten.

    ICT-risicobeheer (Artikelen 5-16)

    DORA Artikelen 5 tot 16 vereisen dat financiële entiteiten een uitgebreid ICT-risicobeheerskader implementeren met gedocumenteerde beleidslijnen, regelmatige beveiligingstests en kwetsbaarheidsbeheer. Onze penetratietests valideren direct of uw ICT-risicocontroles in de praktijk werken.

    ICT-incidentmelding (Artikelen 17-23)

    DORA Artikelen 17 tot 23 vereisen classificatie en melding van significante ICT-gerelateerde incidenten aan bevoegde autoriteiten binnen vastgestelde tijdsbestekken. Een geteste omgeving met goede monitoring vermindert zowel de kans als de detectietijd van significante incidenten.

    Digitale weerbaarheidstest (Artikelen 24-27)

    DORA Artikel 24 vereist regelmatige ICT-beveiligingstests voor alle in-scope financiële entiteiten. Artikel 26 vereist Threat-Led Penetration Testing (TLPT) minimaal om de drie jaar voor significante instellingen. Wij leveren DORA-conforme testrapporten die aan deze verplichtingen voldoen.

    ICT-risico van derden (Artikelen 28-44)

    DORA Artikelen 28 tot 44 vereisen dat financiële entiteiten gedocumenteerd toezicht houden op alle kritieke ICT-derdenaanbieders. We beoordelen het beveiligingspostuur van uw kritieke leveranciers en testen de integratiepunten tussen hun systemen en die van u.

    Financiële Beveiligingsdiensten

    Financiële Penetratietest

    Beveiligingstesten voor bankapplicaties, handelsplatforms en betaalsystemen. We testen authenticatie, autorisatie, transactielogica en API-beveiliging onder omstandigheden die echt aanvallersgedrag weerspiegelen.

    Red Team Operaties

    Aanvalssimulatie die uw fraudedetectie en beveiligingsoperaties test. Red Team oefeningen testen of uw controles een realistische aanval over de volledige kill chain detecteren en stoppen.

    DORA Compliance Testen

    Digitale operationele weerbaarheidsassessment en compliance testen afgestemd op DORA vereisten. Levert een gestructureerd bewijspakket voor uw toezichthouder en interne auditfunctie.

    Risicobeoordeling Derde Partijen

    ICT-risicobeoordeling van derde partijen en leverancier beveiligingsevaluatie. We beoordelen het aanvalsoppervlak en beveiligingspostuur van uw kritieke ICT-aanbieders onder DORA Artikel 28-vereisten.

    Veelgestelde vragen

    NIS2 en DORA zijn afzonderlijke verordeningen met overlappende werkingssfeer voor sommige financiële instellingen. DORA is lex specialis voor de financiële sector: waar DORA en NIS2 beide van toepassing zijn, gelden DORA-vereisten doorgaans bij voorrang voor ICT-risicobeheer en testverplichtingen. Financiële entiteiten moeten nog steeds voldoen aan NIS2-vereisten die DORA niet specifiek adresseert. We mappen onze testscope gelijktijdig op beide frameworks.

    DORA ICT-testen (Artikelen 24-27) gaat verder dan standaard penetratietesten. Het vereist testen op basis van gedocumenteerde dreigingsintelligentie, met gedefinieerde scope, methodologie en bewijs dat gekoppeld is aan uw ICT-risicobeheerskader. Voor significante instellingen vereist TLPT een goedgekeurde dreigingsintelligentie aanbieder. Standaard pentests voldoen niet aan deze vereisten zonder de DORA-specifieke onderbouwing en documentatie.

    DORA is van toepassing op kredietinstellingen, betalingsinstellingen, e-geldinstellingen, beleggingsondernemingen, verzekerings- en herverzekeringsondernemingen, aanbieders van crypto activadiensten en hun kritieke ICT-derden aanbieders. De volledige lijst is gedefinieerd in DORA Artikel 2. Significante instellingen binnen deze categorieën staan voor aanvullende vereisten waaronder TLPT om de drie jaar.

    We voeren technische beveiligingsbeoordelingen uit van kritieke ICT-leveranciersomgevingen en integratiepunten, waarbij we API-beveiliging, authenticatiemechanismen, gegevensbeheer en toegangscontroles beoordelen. Dit levert een gestructureerd risicorapport op dat u kunt gebruiken om te voldoen aan de DORA Artikel 28-toezichtsvereisten voor kritieke derdenaanbieders.

    Beveilig uw financiële operaties

    Krijg een beveiligingsbeoordeling afgestemd op DORA en vereisten van de financiële sector.

    Assessment AanvragenCompliance Testen