Zes maanden na de inwerkingtreding van de nieuwe Europese DORA-regelgeving kampt 99 procent van de Nederlandse financiële dienstverleners nog steeds met tekortschietende data reslience. Vooral het toezicht op risico’s van derden vormt een struikelblok.

Dat blijkt uit onderzoek van Veeam. Onder de Nederlandse organisaties ontbreekt nog steeds een aantal cruciale DORA-vereisten. Drie op de tien heeft geen herstel- en continuïteitstests ingevoerd. Bij 24 procent ontbreekt incidentrapportage, terwijl eveneens 24 procent geen DORA-implementatieleider heeft aangewezen.

Een kwart van de organisaties heeft geen digitale operationele veerkrachttests uitgevoerd. Ook bij 24 procent zijn backup-integriteit en veilig dataherstel niet gewaarborgd. Deze lacunes tonen aan dat er nog werk te verrichten valt.

Toegenomen aandacht voor digitale veerkracht

De Digital Operational Resilience Act (DORA) is van kracht in Europa. Nederlandse financiële organisaties hebben hun prioriteiten aangepast nadat de deadline naderde. 94 procent van hen plaatst DORA nu hoger op de prioriteitenlijst dan voor de deadline. Voor twee op de vijf is het zelfs een topprioriteit geworden.

De helft van de Nederlandse respondenten integreert DORA-vereisten in bredere veerkrachtprogramma’s. Voor 40 procent blijft het een centraal aandachtspunt. De sector lijkt de urgentie te hebben ingezien.

Derdepartijrisico’s als hoofdpijnpunt

Het grootste struikelblok vormt het toezicht op risico’s van derden. 31 procent van de Nederlandse organisaties noemt dit de moeilijkste DORA-vereiste. Slechts een vijfde moet deze vereiste nog implementeren.

Die tegenstelling duidt op de complexiteit van third-party oversight. Organisaties hebben beperkt inzicht in activiteiten van derden, terwijl hun netwerken enorm omvangrijk zijn. Deze uitdaging vraagt om duidelijke richtlijnen.

“Het is interessant om te zien dat toezicht op derden een specifiek pijnpunt is geworden voor organisaties. Bijna een derde noemt het de meest uitdagende vereiste van DORA”, aldus Andre Troskie, Field CISO EMEA bij Veeam.

Onverwachte gevolgen

De implementatie van DORA heeft tot onvoorziene uitdagingen geleid. Bijna de helft van de organisaties (46 procent) meldt toegenomen stress bij IT- en securityteams. Daarnaast heeft 35 procent te maken met hogere kosten van ICT-leveranciers.

Voor 58 procent vormt de omvang van digitale regelgeving een belemmering voor innovatie. Een kwart heeft nog niet het benodigde budget vrijgemaakt voor compliance. Deze neveneffecten compliceren de implementatie.

Kritiek op DORA-ontwerp

Een derde van de Nederlandse respondenten vindt dat DORA beter had kunnen worden ontworpen. Dit percentage ligt flink hoger dan het Europese gemiddelde van 22 procent. Organisaties roepen vooral op tot vereenvoudiging en verduidelijking.

Meer gedetailleerde richtlijnen voor derdepartijrisico’s worden gewenst. De complexiteit van de regelgeving vormt een obstakel voor naleving. Duidelijkere instructies zouden de implementatie kunnen vergemakkelijken.

De weg naar volledig operationele resilience duurt langer dan verwacht. Organisaties moeten meer doen dan alleen compliance bereiken om werkelijk veerkrachtig te worden in het huidige dreigingslandschap.

Tip: DORA is niet alleen belangrijk voor financiële instellingen