Sinds de invoering van de Digital Operational Resilience Act (DORA) op 17 januari 2025 is de financiële sector aan een stevige inhaalslag begonnen. De boodschap is glashelder: digitale weerbaarheid is niet langer enkel een IT-vraagstuk, maar een onmisbare randvoorwaarde voor het functioneren van de hele organisatie.

Nu DORA een half jaar van kracht is, wordt steeds duidelijker welke impact de nieuwe regels hebben op banken, verzekeraars en andere financiële instellingen, én waar de grootste uitdagingen nog liggen. Deze blog gaat in op de verstrekkende gevolgen van deze regelgeving voor de financiële sector.

Wat heeft een half jaar DORA de sector gebracht?

De invoering van DORA vergde veel van de financiële sector: maanden van discussie, planning, investeringen en personeelsmanagement gingen eraan vooraf. Eerder onderzoek van Rubrik Zero Labs (januari 2025) onderstreepte deze onzichtbare druk al: vier op de tien (40%) van de Nederlandse bedrijven gaf aan meer dan een miljoen euro te hebben geïnvesteerd aan de implementatie van regelgeving zoals DORA, 79 procent van de bevraagde medewerkers wereldwijd voelde extra mentale druk en ruim de helft (54%) van de Nederlandse CISO’s ervaarde meer stress.

De afgelopen zes maanden zijn bedrijven in de financiële sector overgegaan van voorbereiding naar daadwerkelijke integratie van DORA in hun dagelijkse processen. Het was daarbij geen verrassing dat dit een grote opgave zou worden. Bij de integratie staan een aantal pijlers van DORA centraal, waaronder: ICT-risicobeheer, incidentenrapportage, testen van digitale operationele weerbaarheid en risicomanagement met derden:

• ICT-risicobeheer – De eerste maanden stonden vooral in het teken van het verstevigen van ICT-risicomanagement. Organisaties brachten hun kritieke ICT-assets in kaart, identificeerden kwetsbaarheden en stelden duidelijke risicoprofielen op.
• Incidentenrapportage – Organisaties staan nu voor de uitdaging om te voldoen aan strenge eisen voor het classificeren, melden en gedetailleerd rapporteren van grote ICT-incidenten aan toezichthouders binnen strakke deadlines. Dit vraagt om verfijnde interne processen, betere monitoringtools en duidelijke communicatiekanalen.
• Testen van digitale operationele weerbaarheid – Wellicht is dit wel de meest uitdagende pijler, en met name door de zeer specifieke Threat-Led Penetration Testing (TLPT). Waar veel organisaties zich al hadden voorbereid op deze tests, zijn de eerste maanden na de livegang vooral gebruikt voor het uitvoeren van complexe, realistische simulaties die echte cyberaanvallen precies nabootsen. Het doel? Niet alleen kwetsbaarheden opsporen, maar vooral bewijzen dat de organisatie stevige verstoringen kan weerstaan én snel kan herstellen.
• Risicomanagement met derden – Het beheer van risico’s rondom derde partijen staat niet langer op zichzelf, maar is een centraal aandachtspunt geworden. DORA verplicht financiële instellingen om het hele proces van hun samenwerking met belangrijke ICT-leveranciers scherp in de gaten te houden. Dat betekent grondige due diligence, stevige contracten en continue monitoring van de weerbaarheid van deze partners. Veel organisaties herzien hun hele leveranciersbestand, brengen kritieke afhankelijkheden in kaart en spreiden soms hun leveranciers om concentratierisico’s te verkleinen. Door de extra focus van de regelgeving vragen bedrijven nu meer transparantie en zekerheid dan ooit van hun partners.

DORA raakt bijna alle facetten van financiële organisaties: van IT en cybersecurity tot juridische zaken, compliance, risicomanagement en zelfs de dagelijkse bedrijfsvoering. Ook de werknemers achter de systemen krijgen te maken met veranderingen, omdat er volop wordt geïnvesteerd in het trainen en bijscholen van medewerkers, rollen en verantwoordelijkheden worden uitgebreid en de werkdruk neemt toe. DORA is daarmee niet alleen een technische uitdaging te noemen, maar ook een grote organisatorische transformatie.

Is jouw organisatie klaar voor een cyberaanval?

Na alle inspanningen en investeringen om aan DORA te voldoen, is het tijd voor de cruciale check: hoe veerkrachtig is jouw organisatie écht in de praktijk? Om daarachter te komen, is het goed jezelf de volgende vragen te stellen:

• Heb je het proces alleen op papier staan, of heb je het ook daadwerkelijk getest binnen je organisatie?
• Heb je nagedacht over alle mogelijke scenario’s? Of in ieder geval over die je kunt voorzien en voorbereiden?
• Welke nieuwe risico’s zijn er te zien nu je de gaten in je beveiliging hebt geanalyseerd en aangepakt?

DORA helpt je op weg naar cyberweerbaarheid, maar als eerlijkheid, oefeningen en voortdurende toetsing ontbreken, faalt uiteindelijk ook je verdediging.

Hoe ziet de toekomst van DORA eruit? En hoe beïnvloedt dit organisaties wereldwijd?

DORA is één van de vele cybersecurity-regelgevingen die de afgelopen jaren zijn geïntroduceerd, en zes maanden na invoering staan we nog maar aan het begin. Naarmate de organisatorische kaders verder volwassen worden, blijven bedrijven investeren, verbeteren en zich aanpassen om hun weerbaarheid te versterken.

Deze kosten zijn fors, al worden ze door organisaties niet gezien als een last, maar juist als een strategische investering. De financiële en reputatieschade van een groot cyberincident, die in ernstige gevallen kan oplopen tot honderden miljoenen of zelfs miljarden euro’s, zijn vele malen groter dan de investering in DORA-compliance.

De kernprincipes van DORA zijn essentieel om te kunnen navigeren in het continu veranderende cyberdreigingslandschap. Door deze werkwijzen diep te verankeren in het operationele DNA, kunnen financiële instellingen niet alleen voldoen aan de regels, maar vooral ook hun verdediging versterken, de continuïteit waarborgen en het vertrouwen van klanten behouden in een steeds onvoorspelbaarder digitaal tijdperk.