Zes maanden DORA: Hoe staat de financiële sector er in Nederland voor?
De invoering van de Digital Operational Resilience Act (DORA) op 17 januari 2025 zette de financiële sector op scherp, na maanden van discussie, voorbereiding, investeringen en personeelsplanning. Eerder onderzoek van Rubrik Zero Labs wees uit dat vier op de tien (40%) van de Nederlandse bedrijven aangaf meer dan een miljoen euro te hebben geïnvesteerd in de implementatie van regelgeving zoals DORA, en ruim de helft (54%) van de Nederlandse CISO’s ervaarde meer stress.
Een half jaar na de invoering van DORA deelt Filip Verloy, Field CTO bij Rubrik, zijn visie op de voortgang binnen een aantal belangrijke pijlers: ICT-risicobeheer, incidentenrapportage, testen van digitale operationele weerbaarheid en risicomanagement met derden:
- ICT-risicobeheer – De eerste maanden stonden vooral in het teken van het verstevigen van ICT-risicomanagement. Organisaties brachten hun kritieke ICT-assets in kaart, identificeerden kwetsbaarheden en stelden duidelijke risicoprofielen op.
- Incidentenrapportage – Organisaties staan nu voor de uitdaging om te voldoen aan strenge eisen voor het classificeren, melden en gedetailleerd rapporteren van grote ICT-incidenten aan toezichthouders binnen strakke deadlines. Dit vraagt om verfijnde interne processen, betere monitoringtools en duidelijke communicatiekanalen.
- Testen van digitale operationele weerbaarheid – Wellicht is dit wel de meest uitdagende pijler, en met name de zeer specifieke Threat-Led Penetration Testing (TLPT). Waar veel organisaties zich al hadden voorbereid op deze tests, zijn de eerste maanden na de livegang vooral gebruikt voor het uitvoeren van complexe, realistische simulaties die echte cyberaanvallen precies nabootsen. Het doel? Niet alleen kwetsbaarheden opsporen, maar vooral bewijzen dat de organisatie stevige verstoringen kan weerstaan én snel kan herstellen.
- Risicomanagement met derden – Het beheer van risico’s rondom derde partijen staat niet langer op zichzelf, maar is een centraal aandachtspunt geworden. DORA verplicht financiële instellingen om hun samenwerking met belangrijke ICT-leveranciers nauwkeurig te volgen. Dit betekent dat ze deze leveranciers goed moeten onderzoeken, duidelijke afspraken moeten maken en voortdurend in de gaten moeten houden of ze digitaal weerbaar genoeg zijn. Door de strengere regels vragen bedrijven nu meer openheid en zekerheid van hun leveranciers dan ooit tevoren.
DORA raakt bijna alle facetten van financiële organisaties: van IT en cybersecurity tot juridische zaken, compliance, risicomanagement en zelfs de dagelijkse bedrijfsvoering. Ook de werknemers achter de systemen krijgen te maken met veranderingen. DORA is daarmee niet alleen een technische uitdaging te noemen, maar ook een grote organisatorische transformatie.
“De financiële schade en reputatieschade die een bedrijf kan oplopen door een cyberincident, is veel groter dan de kosten die nodig zijn om te voldoen aan DORA”, zegt Verloy. “Door de kernprincipes van DORA te verankeren in het operationele DNA, kunnen financiële instellingen niet alleen voldoen aan de regels, maar vooral ook hun verdediging versterken, de continuïteit waarborgen en het vertrouwen van klanten behouden in een steeds onvoorspelbaarder digitaal tijdperk.”
Lees meer
