Amsterdam
Barbara Strozzilaan 1011083 HN Amsterdam
Nederland+31 970 10275733info@kruso.nl
De weg richting DORA-compliance kan behoorlijk uitdagend zijn, met veel bewegende onderdelen en regelgevende eisen die in balans moeten worden gebracht.
Ter aanvulling op het technische en strategische overzicht van DORA hebben we een diepgaand interview gehouden met een ervaren compliance-adviseur die meerdere financiële instellingen heeft begeleid bij grootschalige regelgevingstransformaties.
De geïnterviewde heeft ervoor gekozen anoniem te blijven vanwege de sterk vertrouwelijke en beveiligingskritische aard van de besproken onderwerpen, met name op het gebied van IT-beveiliging, naleving van regelgeving en gegevensbescherming.
In de beginfase van de meeste DORA-programma’s beschouwen financiële instellingen compliance vaak als een wettelijke verplichting, een noodzakelijke kostenpost in plaats van een strategische kans. Deze denkwijze komt vooral voor op directieniveau. Na verloop van tijd verandert die perceptie echter. Zoals een nationale toezichthouder het verwoordt:
“Kapitaal op orde hebben is net zo belangrijk als je weerbaarheid op orde hebben. En dan merk je dat bedrijven dit nog moeten leren. Wat je nog steeds ziet, is dat veel bedrijven DORA op een ouderwetse manier benaderen. Dus veel nadruk op beleid en weinig vertaling naar actie. Dat soort dingen.”
Dit inzicht vormt vaak een keerpunt, waarbij DORA verschuift van een afvinkoefening naar een katalysator voor betere servicebetrouwbaarheid en klantvertrouwen.
Een veelvoorkomende valkuil is een traditionele, beleidsmatige aanpak met weinig operationele vertaalslag. Veel organisaties stellen uitgebreide raamwerken op, maar slagen er niet in deze op een betekenisvolle manier te integreren in hun dagelijkse systemen en werkprocessen.
DORA-compliance staat zelden op zichzelf. Het loopt vaak parallel aan bredere initiatieven zoals cloudmigratie, dataconsolidatie en digitale transformatie. Maar deze trajecten verlopen niet altijd in hetzelfde tempo. In sommige gevallen versnellen organisaties hun cloudadoptie, terwijl de datakwaliteit of procesvolwassenheid achterblijft. Het resultaat is een kloof tussen technische verandering en operationele paraatheid. De geïnterviewde benadrukt:
“Bij een bedrijf waar ik werkte, moesten ze echt naar de cloud. Dat was een noodzaak. Dan zie je dat het een project wordt, maar de volwassenheid van de organisatie kon niet allemaal parallel meegroeien. Ik denk dat digitale transformatie pas daarna komt. Je moet kunnen experimenteren en veranderen, en hun data was nog niet op orde, of slechts gedeeltelijk.”
Idealiter moet de DORA-implementatie worden ingebed in het bredere transformatieportfolio, in plaats van te worden behandeld als een parallel of secundair project. Te vaak gebeurt het tegenovergestelde, waarbij compliance-teams geïsoleerd opereren van IT-, security- en infrastructuureenheden.
Een terugkerende uitdaging ligt in de interne structuur van veel organisaties. ICT-risico wordt vaak los beheerd van bredere enterprise-risicofuncties, en operationele afdelingen reageren soms zelfstandig op incidenten. Maar DORA is van nature cross-functioneel: risk, IT, governance en businessunits hebben allemaal een rol te spelen.
“Wat wij merkten, was dat de echte worsteling lag bij de silo’s in de organisatie. Risk deed Risk, en de IT-afdeling handelde IT-incidenten af. En je ziet gewoon dat een onderwerp als DORA een doorsnijdend thema is. Het valt niet onder één enkele afdeling. Dus je moet samenwerken. En dan krijg je natuurlijk uitdagendere samenwerking tussen afdelingen.”
Om dit te doorbreken introduceren instellingen jaarlijkse, gecoördineerde planningscycli gebaseerd op de terugkerende DORA-vereisten. Dit omvat duidelijke deliverables, beslismomenten en escalatiepaden. Door incidentrespons, threat intelligence en business continuity-processen organisatiebreed op elkaar af te stemmen, kunnen organisaties sneller en effectiever reageren wanneer nieuwe dreigingen ontstaan.
Hoewel crisismanagementprocessen vaak op papier bestaan, ligt de meest voorkomende kloof in de vroege herkenning; het moment waarop een regulier incident escaleert naar een DORA-meldingsplichtig incident. Vertraging in die beoordeling kan het risico aanzienlijk vergroten en de respons belemmeren.
Sommige organisaties pakken dit aan door intelligente meldingen rechtstreeks in frontline-tools, zoals helpdesksystemen, te integreren. Wanneer een supportmedewerker bijvoorbeeld symptomen registreert die overeenkomen met vooraf gedefinieerde criteria, kan het systeem een mogelijk DORA-incident markeren en de juiste coördinator waarschuwen. Dit vroege triagemechanisme kan de responstijd drastisch verkorten en de incidentafhandeling tussen afdelingen verbeteren.
Operationele veerkrachttesten vormen een andere belangrijke eis onder DORA, maar de kwaliteit en relevantie van de scenario’s zijn cruciaal. In plaats van te veel nadruk te leggen op veelvoorkomende aanvallen zoals DDoS, die in veel omgevingen al goed worden gemitigeerd, richten organisaties zich steeds meer op scenario’s met grote impact, zoals ransomware, gecompromitteerde failover-omgevingen en cascadefouten tijdens back-upreplicatie.
Even belangrijk is het meenemen van de maatschappelijke impact van ICT-verstoringen. Scenario’s waarbij betalingssystemen uitvallen of vertragingen ontstaan in de verwerking van zorgrelaterade claims krijgen nu hogere prioriteit. Deze brengen niet alleen een hoge operationele risico’s met zich mee, maar ook aanzienlijke reputatie- en regelgevingsgevolgen.
De inzichten uit dit interview bieden een waardevol beeld van de daadwerkelijke organisatorische en operationele uitdagingen die DORA met zich meebrengt en hoe instellingen daar actief mee omgaan.
Wil je meer weten over het navigeren door het complexe DORA-compliancelandschap? Neem gerust contact met ons op. Onze specialisten staan klaar om je verder te helpen.