De realiteit achter DORA

DORA als realiteitstoets

Met DORA wil de Europese Unie de digitale weerbaarheid van de financiële sector structureel versterken. De verordening verplicht financiële instellingen om aantoonbaar in staat te zijn ICT-incidenten te voorkomen, te beheersen en ervan te herstellen, zodat kritieke dienstverlening ook bij ernstige ICT-verstoringen doorgaat. Waar eerdere regelgeving zich vooral richtte op financiële risico’s, dwingt DORA financiële instellingen om te kijken naar de operationele werkelijkheid: afhankelijkheden van IT-systemen, leveranciers en clouddiensten, en ICT-storingen. Nu de verordening van toepassing is, wordt duidelijk dat DORA minder dan vooraf gedacht een administratieve exercitie is en meer een organisatiebrede verandering.

De grootste valkuilen uitgelicht

• DORA benaderen als IT‑ of complianceproject
  Een veelvoorkomende valkuil is dat DORA wordt gezien als een IT‑ of compliance-oefening. Daarmee wordt de verordening gereduceerd tot beleid, formats en checklists, precies wat DORA níet beoogt. Digitale weerbaarheid gaat niet over documentatie, maar over strategische keuzes: welke dienstverlening is essentieel, welke risico’s accepteert het bestuur en waar wordt in geïnvesteerd? Zolang die vragen niet expliciet op bestuursniveau worden beantwoord, blijft DORA hangen in overleggen en projectstructuren zonder richting. Organisaties die DORA niet verbinden aan strategie en risicobereidheid creëren de schijn van controle, maar bouwen geen echte weerbaarheid. 

• Third-party risico's
  Vrijwel alle instellingen ervaren third-party riskmanagement als het lastigste onderdeel van DORA, en dat is geen toeval. Juist hier wordt zichtbaar hoe beperkt de daadwerkelijke regie vaak is. Inzicht in leveranciersketens, het heronderhandelen van contracten en het vastleggen van exitscenario's blijken in de praktijk complex, tijdrovend en politiek gevoelig. Veel instellingen zijn afhankelijk van een handvol dominante ICT‑dienstverleners, waardoor contractmanagement verschuift van een beheersmaatregel naar een onderhandelingsspel. DORA maakt deze afhankelijkheden zichtbaar, maar lost ze niet op. Wie hier geen duidelijke keuzes durft te maken, loopt het risico dat juist de meest kritieke schakels buiten de eigen invloedssfeer blijven. 

• Register of Information
  Het Register of Information wordt vaak behandeld als een verplichte bijlage bij DORA, terwijl het in potentie een strategisch stuurinstrument is. Ook wordt het inrichten en onderhouden van het register regelmatig onderschat. Informatie over ICT-diensten en-dienstverleners is vaak versnipperd, inconsistent en moeilijk actueel te houden. Wie het register ziet als een eenmalige inventarisatie, mist de kern. Het register dwingt organisaties keuzes te maken over governance, eigenaarschap en transparantie. Zonder die keuzes verwordt het register tot een administratief artefact: aanwezig voor de toezichthouder, maar nauwelijks gebruikt door het bestuur. 

• Weerbaarheidstesten op een ander niveau
  Veel organisaties voerden al testen uit op het gebied van businesscontinuïteit en IT-beveiliging. DORA legt de nadruk echter op realistische, scenario‑gebaseerde testen. Die testen moeten niet alleen aantonen dát systemen werken, maar ook wat de impact is op klanten en kritieke dienstverlening. Voor grotere instellingen geldt bovendien de verplichting tot ‘threat‑led penetration testing’ (TLPT). TLPT is een realistische, intelligence‑gedreven beveiligingstest waarbij echte aanvalscenario's worden nagebootst om te beoordelen of kritieke systemen bestand zijn tegen daadwerkelijke cyberdreigingen. Waar je bij klassieke pentesten vooral technische kwetsbaarheden test, test je bij TLPT de weerbaarheid van de hele keten: mensen, processen, technologie én detectie- en responsvermogen, gebaseerd op realistische dreigingen. In de praktijk blijkt dat testen nog vaak te technisch of te geïsoleerd worden uitgevoerd. DORA dwingt instellingen om die comfortzone te verlaten. 

• Incidentmanagement onder druk
  Op papier hebben veel instellingen hun incidentmanagement goed ingericht. DORA laat echter zien hoe kwetsbaar dit systeem wordt onder tijdsdruk. Strikte eisen aan classificatie en rapportage vragen om naadloze samenwerking tussen IT-, Risk-, Legal- en Communicatie-afdelingen. De uitdaging zit niet in het bestaan van processen, maar in de snelheid, consistentie en aantoonbaarheid ervan. Wanneer elk incident opnieuw discussie oproept over classificatie en verantwoordelijkheden, is dat een signaal dat de beheersing nog onvoldoende is verankerd. DORA maakt die spanning zichtbaar en vereist goed afgestemde processen en samenwerkingen in de organisatie. 

Aanpak van DORA in de praktijk

De meeste financiële instellingen benaderen DORA via een centrale, programmamatige aanpak, met duidelijke regie en gefaseerde implementatie. Daarbij ligt de focus eerst op kritieke of belangrijke functies, in lijn met de verwachtingen van toezichthouders. Grote inspanningen gaan naar het versterken van third‑party riskmanagement, het heronderhandelen van ICT-contracten en het opzetten van het Register of Information, met een gefaseerde, risicogebaseerde aanpak. Voor testing en incidentmanagement bouwen instellingen voort op bestaande structuren, die stap voor stap worden aangescherpt. Steeds vaker zien instellingen DORA daarbij niet alleen als complianceverplichting, maar als aanleiding om hun digitale weerbaarheid structureel te verbeteren.

Bewegingen in de financiële sector

In de sector is een duidelijke verschuiving zichtbaar:

• DORA wordt steeds vaker gebruikt als hefboom voor bredere operationele weerbaarheid in onder andere strategische besluitvorming, third-party strategieën en IT-architectuurkeuzes in plaats van als puur een complianceproject. 
• Instellingen heroverwegen hun uitbestedings- en cloudstrategieën. De aandacht verschuift naar exitstrategieën, multi‑vendoroplossingen en diepgaandere due diligence op kritieke ICT-dienstverleners.
• Financiële instellingen investeren in (GRC) tooling om governance, third‑party risk en incidentmanagement beter centraal aan te sturen.

De stand van zaken in de praktijk

Het algemene beeld is gemengd maar positief. De meeste financiële instellingen hebben grote stappen gezet, waarbij banken gemiddeld iets verder zijn dan verzekeraars en pensioenfondsen. Tegelijkertijd verwacht het overgrote deel van de sector nog maanden nodig te hebben om alle onderdelen volledig te implementeren. Mede hierdoor hanteren toezichthouders voorlopig een risico-gebaseerde en proportionele aanpak, waarbij aantoonbare voortgang en bestuurlijke betrokkenheid centraal staan.

Samenvattend beeld

DORA maakt zichtbaar hoe afhankelijk financiële instellingen zijn van technologie en third-parties. De grootste uitdagingen zitten niet in beleid, maar in ketenafhankelijkheden, realistische testen en bestuurlijke keuzes. Instellingen die DORA zien als een eenmalige verplichting, zullen blijven worstelen. Organisaties die DORA benutten om structureel te investeren in digitale weerbaarheid, bouwen aan een fundament dat verder reikt dan deze verordening alleen. DORA is daarmee geen vinkjesoefening, maar een spiegel voor hoe weerbaar organisaties écht zijn — en een uitnodiging om nu keuzes te maken die morgen het verschil bepalen.