Amsterdam, Nederland Februari 2025. Sean Tilley, Director of Sales voor EMEA bij 11:11 Systems, provider van beheerde infrastructuuroplossingen, heeft vandaag enkele belangrijke inzichten gedeeld over de Digital Operational Resilience Act (DORA), die op 17 januari in werking is getreden en van toepassing is op financiële diensten en externe IT-providers die actief zijn binnen de EU. Hij legt ook uit wat niet-naleving kan betekenen voor financiële instellingen die actief zijn in Nederland. In een nieuw tijdperk van cyberaanvallen met toenemende downtime en datalekken, heeft DORA tot doel de manier waarop organisaties omgaan met beveiliging, privacy en cybersecurity opnieuw invulling te geven. Cybercriminelen worden steeds gedurfder en creatiever, en in 2025 wordt een toename verwacht in de exploitatie van nieuwe kwetsbaarheden.

Recente trends wijzen op een alarmerende toename van cybercriminaliteit. Uit onderzoek van Security Scorecard bleek dat 78% van de grootste financiële instellingen in Europa het afgelopen jaar te maken heeft gehad met datalekken door derden, waarvan 84% getroffen werd door een inbreuk bij een vierde partij in de eigen toeleveringsketen, wat de lange schaduw van cyberdreigingen in de financiële sector nog maar eens onderstreept. Verder komen volgens het Global Cyber Security Outlook Report van het World Economic Forum kwetsbaarheden in de toeleveringsketen naar voren als het grootste cyberrisico voor ecosystemen, waarbij 54% van grote organisaties beveiligingsuitdagingen in de toeleveringsketen als grootste struikelblok beschouwt voor het bereiken van cyberbestendigheid.

Volgens Tilley: “Naarmate organisaties hybride werkmodellen gebruiken en overstappen op cloudgebaseerde infrastructuren, stellen ze zichzelf onbedoeld bloot aan een groter aantal cyberaanvallen. Deze bedreigingen worden steeds geavanceerder en maken vaak gebruik van AI-technologieën om aanvalsvectoren te automatiseren. In deze context is DORA niet alleen een wettelijke verplichting, maar ook een cruciale strategie voor organisaties om hun cybersecurity-raamwerk te versterken en operationele veerkracht te bereiken.”

Volgens het Verizon Data Breach Investigations Report uit 2024 is ransomware de grootste bedreiging in 92% van de sectoren, waardoor snelle patching en Exposure Management belangrijker zijn dan ooit voor organisaties die cyberdreigingen een stap voor willen blijven. De DORA-regelgeving is ontworpen om de integriteit en veerkracht van digitale systemen in financiële instellingen en van externe dienstverleners op het gebied van informatie- en communicatietechnologie (ICT) in heel Europa te verbeteren. Dit moet de wijze waarop organisaties ICT-gerelateerde risico's detecteren, behandelen en rapporteren harmoniseren om het steeds groter wordende risico op inbreuken te beperken.

De gevolgen van niet-naleving begrijpen

“Nu bedrijven steeds meer te maken krijgen met een toenemende golf van cyberbedreigingen, wordt DORA gezien als cruciale wetgeving die tot doel heeft de algehele cybersecurity van financiële instellingen binnen de Europese Unie te verbeteren” merkt Tilly op.

Hoewel veel grote financiële ondernemingen, die actief zijn in een sterk gereguleerde sector, doorgaans over een robuuste cyberbestendigheid beschikken die in hun systemen is geïntegreerd, blijven de zorgen over de naleving zwaar wegen op de financiële dienstensector in de EU. Uit een rapport van Orange Cyberdefense bleek dat 43% van organisaties de deadline voor DORA-naleving naar verwachting niet zal halen. Nog opvallender is dat de vertragingen naar verwachting minstens drie maanden zullen duren vanwege de complexiteit van de wettelijke vereisten.

“Aangezien DORA er al is, kunnen strikte bepalingen op gebieden als ICT-risicobeheer, incidentrapportage, testen, het delen van informatie over bedreigingen en risicobeheer door derden niet genegeerd worden zonder fikse boetes te krijgen”, zegt Tilly. “Organisaties moeten de relevante bevoegde autoriteit binnen vier uur nadat ze hebben vastgesteld dat het incident aan deze classificatie voldoet, op de hoogte brengen van “ernstige” incidenten (met betrekking tot de impact op kritieke diensten). Na de eerste melding moet binnen 72 uur na de classificatie van het incident als ernstig een gedetailleerd tussentijds verslag worden ingediend. DORA vereist bovendien dat bedrijven informatie over hun contractuele overeenkomsten met IT-leveranciers in een register vastleggen.”

Het niet naleven van deze voorschriften kan ernstige gevolgen hebben. De wet vereist dat de EU-lidstaten passende sancties invoeren voor inbreuken, waaronder boetes van ten minste 2% van de gemiddelde wereldwijde dagomzet gedurende maximaal zes maanden of individuele boetes tot maximaal €1 miljoen. Kritieke externe ICT-dienstverleners die zich niet aan de vereisten van DORA houden, riskeren nog hogere boetes, beperkingen op de bedrijfsactiviteiten en onherstelbare reputatieschade.

Toezichthoudende instanties hebben de bevoegdheid om de bedrijfsactiviteiten van financiële ondernemingen die niet aan de regels voldoen te beperken of op te schorten totdat ze in volledige naleving zijn. De bevoegde autoriteit heeft ook het recht om gegevens over dataverkeer op te vragen bij telecommunicatiebedrijven als er een redelijk vermoeden bestaat van een inbreuk. Daarnaast kunnen er openbare waarschuwingen worden gegeven waarin de betrokken partijen en de aard van de inbreuk worden geïdentificeerd. Dergelijke maatregelen kunnen een grotere financiële impact hebben dan boetes alleen. Met de invoering van DORA worden bedrijfsleiders nu ook individueel aansprakelijk gesteld voor nalevingsfouten van hun bedrijf met een maximumboete van €1 miljoen. De verwachting is dat de AFM en DNB gezamenlijk zullen toezien op de naleving van de verordening.

Een pleidooi voor robuuste nalevingsstrategieën

Uit een recente analyse van de gegevensrapportage, uitgevoerd door de Europese toezichthoudende autoriteiten (ESA's) waarbij 1039 financiële ondernemingen betrokken waren, bleek dat slechts 6,5% van hen een foutloze gegevensrapportage meldde. De meeste rapportagefouten werden toegeschreven aan hiaten in de nauwkeurigheid van de meldingen: 84% van de fouten in de rapportage kwam door ontbrekende gegevens in verplichte velden, en nog eens 6,5% als gevolg een foutieve identificatiecode voor juridische entiteiten (LEI), die ook bijdroeg aan de nalevingsproblemen.

Daarom moeten bedrijven de juiste informatie verstrekken om fouten in de rapportage en gegevenskwaliteitsproblemen te voorkomen. Het is ook essentieel dat organisaties over een LEI beschikken, zodat ze informatie kunnen rapporteren.

“Organisaties die niet over proactieve en allesomvattende cybersecuritystrategieën beschikken en zich niet aan DORA houden, krijgen te maken met een groot aantal ingrijpende gevolgen die niet alleen hun bedrijfsactiviteiten, maar ook hun reputatie en het vertrouwen van klanten in gevaar kunnen brengen”, aldus Tilly.

De weg vooruit

“De DORA-regelgeving biedt financiële instellingen en hun externe dienstverleners een gestructureerde aanpak om de operationele weerbaarheid vorm te geven in een landschap dat steeds digitaler wordt”, besluit Tilly. “Door samen te werken met gespecialiseerde compliancepartners kunnen organisaties zich een weg banen door de complexiteit van deze regelgeving, in de verzekering dat naleving zich vertaalt in echte operationele kracht.”

Met het oog op het evoluerende bedreigingslandschap en de ernstige gevolgen van niet-naleving, moeten organisaties prioriteit geven aan de naleving van DORA en tegelijkertijd hun cybersecurity-raamwerken versterken. Er staat veel op het spel, maar met de juiste maatregelen kan gewerkt worden aan een veerkrachtigere en veiligere operationele omgeving voor alle betrokken belanghebbenden.

