Vier op de tien bedrijven investeerde ruim een miljoen in compliance met wetgeving

Een half jaar na de invoering van DORA deelt Filip Verloy, Field CTO bij Rubrik, zijn visie op de voortgang binnen een aantal belangrijke pijlers:

• ICT-risicobeheer – De eerste maanden stonden vooral in het teken van het verstevigen van ICT-risicomanagement. Organisaties brachten hun kritieke ICT-assets in kaart, identificeerden kwetsbaarheden en stelden duidelijke risicoprofielen op.
• Incidentenrapportage – Organisaties staan nu voor de uitdaging om te voldoen aan strenge eisen voor het classificeren, melden en gedetailleerd rapporteren van grote ICT-incidenten aan toezichthouders binnen strakke deadlines. Dit vraagt om verfijnde interne processen, betere monitoringtools en duidelijke communicatiekanalen.
• Testen van digitale operationele weerbaarheid – Dit wordt gezien als de meest uitdagende pijler, met name de zeer specifieke Threat-Led Penetration Testing (TLPT). Waar veel organisaties zich al hadden voorbereid op deze tests, zijn de eerste maanden na de livegang vooral gebruikt voor het uitvoeren van complexe, realistische simulaties die echte cyberaanvallen precies nabootsen. Het doel is niet alleen kwetsbaarheden opsporen, maar vooral bewijzen dat de organisatie stevige verstoringen kan weerstaan en snel kan herstellen.
• Risicomanagement met derden – Het beheer van risico’s rondom derde partijen is een centraal aandachtspunt geworden. DORA verplicht financiële instellingen om hun samenwerking met belangrijke ICT-leveranciers nauwkeurig te volgen. Dit betekent dat ze deze leveranciers goed moeten onderzoeken, duidelijke afspraken moeten maken en voortdurend in de gaten moeten houden of ze digitaal weerbaar genoeg zijn. Door de strengere regels vragen bedrijven nu meer openheid en zekerheid van hun leveranciers dan ooit tevoren.

Van IT en cybersecurity tot de dagelijkse bedrijfsvoering

DORA raakt bijna alle facetten van financiële organisaties: van IT en cybersecurity tot juridische zaken, compliance, risicomanagement en zelfs de dagelijkse bedrijfsvoering. Ook de werknemers achter de systemen krijgen te maken met veranderingen. DORA is daarmee niet alleen een technische uitdaging, maar ook een grote organisatorische transformatie.

“De financiële schade en reputatieschade die een bedrijf kan oplopen door een cyberincident, is veel groter dan de kosten die nodig zijn om te voldoen aan DORA”, zegt Verloy. “Door de kernprincipes van DORA te verankeren in het operationele DNA, kunnen financiële instellingen niet alleen voldoen aan de regels, maar vooral ook hun verdediging versterken, de continuïteit waarborgen en het vertrouwen van klanten behouden in een steeds onvoorspelbaarder digitaal tijdperk.”