De invoering van DORA op 17 januari 2025 zette de financiële sector op scherp, na maanden van discussie, voorbereiding, investeringen en personeelsplanning.
Eerder onderzoek van cybersecuritybedrijf Rubrik Zero Labs wees uit dat vier op de tien (40%) van de Nederlandse bedrijven aangaf meer dan een miljoen euro te hebben geïnvesteerd in de implementatie van regelgeving zoals DORA en ruim de helft (54%) van de Nederlandse Chief Information Security Officers (CISO) ervaarde meer stress.
Belangrijke pijlers
Een half jaar na de invoering van DORA deelt Filip Verloy (foto), Field CTO bij Rubrik, zijn visie op de voortgang binnen een aantal belangrijke pijlers: ICT-risicobeheer, incidentenrapportage, testen van digitale operationele weerbaarheid en risicomanagement.
- ICT-risicobeheer – De eerste maanden stonden vooral in het teken van het verstevigen van ICT-risicomanagement. Organisaties brachten hun kritieke ICT-assets in kaart, identificeerden kwetsbaarheden en stelden duidelijke risicoprofielen op.
- Incidentenrapportage – Organisaties staan nu voor de uitdaging om te voldoen aan strenge eisen voor het classificeren, melden en gedetailleerd rapporteren van grote ICT-incidenten aan toezichthouders binnen strakke deadlines. Dit vraagt om verfijnde interne processen, betere monitoringtools en duidelijke communicatiekanalen.
- Testen van digitale operationele weerbaarheid – Wellicht is dit wel de meest uitdagende pijler, en met name de zeer specifieke Threat-Led Penetration Testing (TLPT). Waar veel organisaties zich al hadden voorbereid op deze tests, zijn de eerste maanden na de livegang vooral gebruikt voor het uitvoeren van complexe, realistische simulaties die echte cyberaanvallen precies nabootsen. Het doel? Niet alleen kwetsbaarheden opsporen, maar vooral bewijzen dat de organisatie stevige verstoringen kan weerstaan én snel kan herstellen.
- Risicomanagement met derden – Het beheer van risico’s rondom derde partijen staat niet langer op zichzelf, maar is een centraal aandachtspunt geworden. DORA verplicht financiële instellingen om hun samenwerking met belangrijke ICT-leveranciers nauwkeurig te volgen. Dit betekent dat ze deze leveranciers goed moeten onderzoeken, duidelijke afspraken moeten maken en voortdurend in de gaten moeten houden of ze digitaal weerbaar genoeg zijn. Door de strengere regels vragen bedrijven nu meer openheid en zekerheid van hun leveranciers dan ooit tevoren.
Financiële- en reputatieschade
Verloy: “DORA raakt bijna alle facetten van financiële organisaties: van IT en cybersecurity tot juridische zaken, compliance, risicomanagement en zelfs de dagelijkse bedrijfsvoering. Ook de werknemers achter de systemen krijgen te maken met veranderingen. DORA is daarmee niet alleen een technische uitdaging te noemen, maar ook een grote organisatorische transformatie. De financiële schade en reputatieschade die een bedrijf kan oplopen door een cyberincident, is veel groter dan de kosten die nodig zijn om te voldoen aan DORA. Door de kernprincipes van DORA te verankeren in het operationele DNA kunnen financiële instellingen niet alleen voldoen aan de regels, maar vooral ook hun verdediging versterken, de continuïteit waarborgen en het vertrouwen van klanten behouden in een steeds onvoorspelbaarder digitaal tijdperk.”
Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.
