3min Security

Het naleven van DORA komt organisaties duur te staan

Het naleven van DORA komt organisaties duur te staan

Hoewel de Europese Digital Operational Resilience Act (DORA) organisaties meer veerkracht biedt, blijkt dat naleving ook aanzienlijke kosten met zich meebrengt. Softwareleveranciers zijn een zwakke schakel bij cybersecurity.

Dit toont het Rubrik Zero Labs rapport aan. 40 Procent van de financiële organisaties in Nederland gaf de afgelopen twee jaar naar verluidt meer dan een miljoen euro uit aan de implementatie van regelgeving zoals DORA. Bijna een derde (30%) gaf daarvoor tussen €501.000 en €1.000.000 uit. 

Ondanks de implementatie-inspanningen liggen bedreigingen nog steeds op de loer. Cyberaanvallen door derden vormen de grootste bedreiging (32%) voor de financiële sector. Ransomware staat op een tweede plek (30%). Meer dan een kwart (28%) van de CISO’s in de financiële sector ziet softwareleveranciers als een belangrijke zwakke plek voor cybersecurity. Een op de tien CISO’s (10%) noemt bedreigingen van binnenuit, zoals menselijke fouten, als grootste risico voor cybersecurity. 

Complexiteit data in de cloud

Meer dan de helft van de CISO’s in de financiële sector (54%) stelt dat DORA de druk op hun rol vergroot. Er is behoefte aan een meer empathische aanpak om deze uitdagingen aan te pakken. Opvallend is dat álle ondervraagde CISO’s in de financiële sector in Nederland de complexiteit van data in de cloud als een probleem beschouwen. 

Een grote meerderheid (88%) specificeert dit zelfs als een matig tot groot probleem. Op 17 januari 2025 introduceerde DORA een universeel kader met een focus op ICT risicomanagement. Dit kader kan een grote impact hebben op de financiële dienstverlening, omdat financiële instellingen beschikken over de meest gevoelige data van alle sectoren.  

Cyberweerbaarheid vereist meer budget

Er is ook een grote kloof met de rest van de C-suite als het gaat om het vooropstellen van cyberweerbaarheid. Meer dan driekwart (78%) van de CISO’s in Nederland heeft het gevoel heeft dat hun IT-budget niet volledig wordt weerspiegeld door de doelstellingen van het management om te voldoen aan de wettelijke vereisten, zoals DORA. DORA stelt belangrijke eisen, zoals contractuele waarborgen en noodplannen, om de afhankelijkheid van derden te minimaliseren en risico’s van partners te beperken.

Om de operationele veerkracht te waarborgen, schrijft DORA regelmatig testen van digitale weerbaarheid en aanvalssimulaties voor. De uitkomsten hiervan worden verwerkt in cybersecurityplannen en bieden CISO’s extra zekerheid.

Overigens is er ook sprake van vertrouwen in de cloud. De meerderheid (64%) van de CISO’s in Nederland is van mening dat de persoonlijke gegevens van hun klanten, partners en werknemers veilig zijn in cloudomgevingen.

Nauwe samenwerking

CISO’s, directies en andere stakeholders moeten nauw samenwerken om te zorgen dat de prioriteiten voor cyberweerbaarheid duidelijk worden vastgesteld, voldoende worden gefinancierd en effectief worden geïmplementeerd. Dit is essentieel om te voldoen aan de veranderende regelgeving en de toekomst van de sector te waarborgen.