De Europese Digital Operational Resilience Act (DORA) moet organisaties weerbaarder maken. Dat gaat, zeker in de financiële sector, gepaard met een hoge belasting van CISO’s én hoge kosten, waarvan CISO’s overigens vinden dat deze niet voldoende zijn om de doelstellingen qua weerbaarheid te halen. Hierop duiden de uitkomsten van een enquête in opdracht van Rubrik.

Veertig procent van de financiële organisaties in Nederland heeft de afgelopen twee jaar naar verluidt meer dan een miljoen euro uitgegeven aan de implementatie van regelgeving als DORA. En bijna drie op de tien onderzochte organisaties geven aan tussen een halve miljoen en een miljoen euro te hebben uitgegeven.

All inspanningen ten spijt, blijven cyberaanvallen door derden de grootste bedreiging voor de financiële sector, op de voet gevolgd door ransomware, zegt een derde van de ondervraagden. Meer dan een kwart (28%) van de CISO’s in de financiële sector ziet softwareleveranciers als een belangrijke zwakke schakel. Een op de tien CISO’s noemt bedreigingen van binnenuit, zoals menselijke fouten, als grootste risico voor cybersecurity.

Meer dan de helft van de CISO’s in de financiële sector geeft aan dat DORA de druk op hun rol heeft vergroot. Zij hebben behoefte aan een meer empathische aanpak om de opgaven rond de implementatie aan te pakken.

Opvallend is dat álle ondervraagde CISO’s in de Nederlandse financiële sector de complexiteit van data in de cloud als een probleem beschouwen. Een grote meerderheid (88%) specificeert dit als een matig tot groot probleem. Toch is er wel sprake van vertrouwen: de meerderheid (64%) van deze CISO’s is van mening dat de persoonlijke gegevens van hun klanten, partners en werknemers veilig zijn in cloudomgevingen.

Tussen CISO’s en andere bestuurders zien de prioriteiten rond cyberweerbaarheid ook beduidend anders. Meer dan driekwart (78%) van de CISO’s heeft het gevoel dat hun IT-budget niet volledig wordt weerspiegeld in de doelstellingen van het management om te voldoen aan de wettelijke vereisten, zoals DORA. Deze regelgeving stelt belangrijke eisen, zoals contractuele waarborgen en noodplannen, om de afhankelijkheid van derden te minimaliseren en risico’s van partners te beperken.

Om de operationele veerkracht te waarborgen, schrijft DORA regelmatig testen van digitale weerbaarheid en aanvalssimulaties voor. De uitkomsten hiervan worden verwerkt in cybersecurityplannen en bieden CISO’s extra zekerheid.

CISO’s, directies en andere stakeholders moeten nauw samenwerken om te zorgen dat de prioriteiten voor cyberweerbaarheid duidelijk worden vastgesteld, voldoende worden gefinancierd en effectief worden geïmplementeerd. Dit is essentieel om te voldoen aan de veranderende regelgeving en de toekomst van de sector te waarborgen.

“Gezien de toenemende dreiging van ransomware en cyberaanvallen, is de implementatie van regelgeving vereist en kostbaar. Begrijpen welke data het meest kritisch is, waar deze data zich bevindt en wie er toegang toe heeft, is essentieel om cyberrisico’s te identificeren, te beoordelen en te beperken. Als deze maatregelen niet worden gevolgd, lopen organisaties het risico boetes krijgen van de Financial Conduct Authority (FCA)”, zegt James Hughes, VP of Solutions Engineering en Enterprise CTO bij Rubrik.

“Er is een duidelijke kloof tussen het begrip op bestuursniveau en de werkelijkheid. Terwijl de toezichthouders steeds strenger worden, hebben veel CISO’s het gevoel dat hun budget niet de mate van betrokkenheid van het management bij compliance weerspiegelt. Deze kloof brengt niet alleen de security van organisaties in gevaar, maar ook hun vermogen om te voldoen aan de veranderende regelgeving”, aldus Hughes.

Over het onderzoek

Het onderzoek is in opdracht van Rubrik uitgevoerd door Wakefield Research onder 350 CISO’s van bedrijven met minimaal 500 werknemers in de financiële dienstverlening, exclusief holdings. De respondenten zijn afkomstig uit het VK, Duitsland, Frankrijk, Italië en Nederland. Het onderzoek is uitgevoerd tussen 21 november en 3 december 2024.