De beveiligings- en complianceteams hebben het in 2025 druk gehad. Tussen de deadline voor de lidstaten om NIS 2 in de lokale wetgeving te implementeren en de start van het nieuwe PCI DSS 4.0-regime kwam DORA: de Wet op Digitale en Operationele VeerkrachtVanaf 17 januari zou het programma naar verwachting meer dan 22,000 financiële dienstverleners en hun ICT-leveranciers die in de EU actief zijn, onder het toepassingsgebied ervan brengen.

Er is slechts één probleem. Volgens nieuw onderzoek gelooft 96% van de Europese financiële dienstverleners nog steeds niet dat hun digitale veerkracht voldoende is om te voldoen aan de strenge eisen van DORA. Bovendien voelen veel IT- en beveiligingsteams zich overweldigd door de extra werkdruk. Hier kan ISO 27001-compliance nuttig zijn.

Een nieuw tijdperk van financiële veerkracht

Volgens het rapport hebben cyberincidenten in de afgelopen twee decennia geleid tot directe verliezen van 12 miljard dollar voor wereldwijde financiële bedrijven. IMFDit is niet alleen een financieel risico; het zou een systeemrisico kunnen vormen voor de gehele kritieke nationale infrastructuur. DORA is het antwoord van de Europese Commissie: een nieuwe verordening die ervoor moet zorgen dat financiële instellingen – en met name hun leveranciers – de veerkracht hebben om te blijven opereren, zelfs tijdens periodes van ernstige verstoringen.

Dit gebeurt door tegelijkertijd regelgeving te harmoniseren en de lat hoger te leggen voor beveiligings- en complianceteams die binnen het toepassingsgebied vallen. Vijf belangrijke pijlers zijn:

  1. ICT-risicobeheer: Robuust beleid om ICT-risico's te identificeren, beoordelen en beperken.
  2. Incidentrapportage: Tijdige en gestandaardiseerde melding van significante ICT-gerelateerde incidenten aan de bevoegde autoriteiten.
  3. Digitale veerkrachttesten: Regelmatig testen om te beoordelen in hoeverre een organisatie is voorbereid op verstoringen.
  4. Risicobeheer door derden: Zorgen dat financiële instellingen de risico's in hun toeleveringsketen monitoren en beheren.
  5. Informatie delen: Het stimuleren van het delen van informatie over bedreigingen binnen de sector om de collectieve veerkracht te verbeteren.

Nog een eindje te gaan

Helaas verlopen de zaken niet helemaal volgens plan, als de resultaten van een nieuw Veeam-onderzoek moeten worden geloofd. Het bedrijf ondervroeg meer dan 400 IT/compliance-besluitvormers in het Verenigd Koninkrijk, Frankrijk, Duitsland en Nederland. Het resulterende rapport concludeert dat 94% DORA nu een hogere prioriteit geeft dan een maand voor de deadline, en dat hetzelfde percentage duidelijk weet welke stappen ze moeten nemen. Toch voldoet de overgrote meerderheid nog steeds niet aan de DORA-normen voor veerkracht.

Veeam stelt dat veel bedrijven niet over het budget (20%) beschikken voor DORA-compliance en in sommige gevallen te maken hebben met hogere leverancierskosten (37%) die door hun ICT-partners worden doorberekend. Twee vijfde (41%) meldt ook toegenomen stress en druk op hun IT- en beveiligingsteams.

Slechts de helft heeft de vereisten van DORA geïntegreerd in hun bredere veerkrachtprogramma's. Drew Gardner, regionaal VP van Veeam voor het Verenigd Koninkrijk en Ierland, denkt dat veel van deze compliance-lacunes en vertragingen te wijten zijn aan aansprakelijkheid van derden.

"Met zoveel functies die door deze derde partijen worden gedekt, zullen veel organisaties ervan uitgaan dat hun producten voldoen aan DORA, maar dat is simpelweg niet het geval", vertelt hij aan ISMS.online. "Met zoveel overeenkomsten zonder gedeelde verantwoordelijkheidsmodellen, zou een organisatie ervan uit kunnen gaan dat compliance onder de verantwoordelijkheid van hun leverancier viel, terwijl de leverancier het tegenovergestelde geloofde."

Waar ze falen

Gegevens uit het rapport ondersteunen Gardners standpunt. Een derde (34%) van de ondervraagden beweert dat het moeilijkste onderdeel van compliance het toezicht op risico's door derden is. Een vijfde heeft het nog niet eens geprobeerd.

"Het aantal externe dienstverleners waarmee een gemiddelde financiële dienstverlener samenwerkt, loopt waarschijnlijk in de tientallen. De meeste werken volgens het black-boxmodel, waardoor er weinig inzicht is in hun beveiligingsmaatregelen", aldus Gardner.

Voor degenen die dit toezicht door derden nog moeten opzetten, zal het geen gemakkelijke opgave zijn om dit te ontrafelen. Organisaties kunnen het zich niet veroorloven om te wachten.

Andere gebieden waar veel organisaties nog niet mee aan de slag zijn gegaan, zijn:

  • Herstel- en continuïteitstesten (24%)
  • Incidentmelding (24%)
  • Selectie van een DORA-implementatieleider (24%)
  • Digitale operationele veerkrachttesten (23%)
  • Back-upintegriteit en veilig gegevensherstel (21%)

Terug op het goede spoor

Met zoveel werk dat nog gedaan moet worden, en ook nog andere prioriteiten, kan DORA-naleving een lastige opgave lijken. Gardner stelt echter dat de implementatie van best practice-normen en -kaders de nalevingslast "aanzienlijk zou kunnen verlichten".

"Met ISO 27001 in het bijzonder kunnen organisaties dubbele werkzaamheden verminderen en de naleving van meerdere regelgevingen stroomlijnen, waardoor ze zowel tijd als middelen besparen", legt hij uit.

Dankzij de gestructureerde aanpak van risicomanagement kunnen organisaties potentiële beveiligingsrisico's systematisch identificeren en beperken, in plaats van brandjes op meerdere fronten tegelijk te blussen. Dit verbetert de algehele beveiligingshouding en biedt een duidelijk en gedocumenteerd proces om compliance aan te tonen aan auditors en toezichthouders.

James Hughes, Enterprise CTO bij Rubrik, dringt er bij organisaties op aan om DORA-naleving te integreren in dagelijkse processen in plaats van het te behandelen als een eenmalig project.

"Na zes maanden doet DORA meer dan alleen de compliancelast vergroten; het dwingt echte operationele veranderingen af. Maar het gevaar bestaat dat het weer een afvinkoefening wordt als CISO's hun mindset niet veranderen", vertelt hij aan ISMS.online. "Het gaat niet om het doorstaan van audits, maar om het kunnen weerstaan en herstellen van echte aanvallen, met minimale downtime."

Meer dan een vijfde (22%) van de door Veeam ondervraagde organisaties is van mening dat het ontwerp van DORA verbeterd had kunnen worden om de naleving te verhogen. Ze hebben opgeroepen tot vereenvoudiging, verduidelijking en meer gedetailleerde richtlijnen voor het beheer van risico's van derden. Dat kan al dan niet door de toezichthouders worden gedaan. In de tussentijd is het nog niet te laat om de door het onderzoek aan het licht gebrachte hiaten te dichten, stelt Hughes.

"Begin met het in kaart brengen van uw kritieke ICT-middelen, het oefenen van incidentrespons en het beoordelen van leveranciersrisico's", concludeert hij. "Maar uiteindelijk is het tijd om de zaken op te voeren – aanvallers wachten niet tot uw papierwerk hen inhaalt."