‘DORA versterkt vertrouwen in de financiële sector’
Sinds begin 2025 geldt de Digital Operational Resilience Act (DORA), die de digitale weerbaarheid van de financiële sector moet versterken. Uit een sectorbrede uitvraag van De Nederlandsche Bank (DNB) gericht op de pensioen- en verzekeringssector blijkt dat veel financiële instellingen al grote stappen hebben gezet, maar dat de praktijk ook uitdagingen kent. Patricia Tiekstra (afdelingshoofd Expertisecentrum Toezicht IT, Cyber, Operational Risk & Resilience, gericht op Pensioenen en Verzekeringen) en Peter Timmer (afdelingshoofd Expertisecentrum Toezicht IT, Cyber en Operational Risk & Resilience, gericht op Banken en Betaalinstellingen) delen hun bevindingen.
Belangrijkste bevindingen uit de uitvraag
DNB vroeg in het eerste kwartaal van dit jaar financiële instellingen naar de stand van zaken met betrekking tot DORA. Tiekstra: “65% van de verzekeraars en pensioenfondsen gaf aan goed op weg te zijn. Ongeveer 10% meldde al volledig compliant te zijn. Tegelijkertijd gaf een kleine 13,5% aan meer tijd nodig te hebben, zelfs tot na eind 2025.” De grootste hobbel blijkt te liggen bij het aanpassen van ICT-contracten met derde partijen. “Dat kost tijd, omdat je afhankelijk bent van de bereidheid van leveranciers. Dat maakt dit een kritiek pad in de implementatie”, aldus Tiekstra.
Ook banken zijn volop bezig, vertelt Timmer. Zij hebben vaak een voorsprong dankzij eerdere EBA-richtsnoeren, richtsnoeren opgesteld door de European Banking Authority (EBA), maar ook voor hen geldt dat vooral contractmanagement veel inspanning en tijd vraagt.
Formele plicht versus praktijk
Hoewel instellingen formeel sinds 17 januari 2025 aan DORA moesten voldoen, verschenen de laatste technische standaarden deze zomer pas. Directe handhaving op alle onderdelen is daardoor niet realistisch. Tiekstra: “De wet geldt al acht maanden, maar de laatste technische standaarden verschenen pas in juli. We houden risicogebaseerd en proportioneel toezicht: eerst in gesprek, daarna kijken welke stappen nodig zijn.” Timmer vult aan: “We verwachten dat instellingen laten zien dat ze er alles aan doen om zo snel mogelijk compliant te worden. Besturen moeten echt aan het stuur zitten bij de DORA-implementatie.”
Complexe dossiers vragen tijd
Naast contractmanagement behoort ook third party risk management tot de complexe dossiers. Timmer: “DORA stelt hogere eisen aan het begrijpen en beheersen van risico’s bij derde partijen. Dat vraagt veel inspanning van instellingen en kost tijd om goed in te regelen.” Daarnaast is compliance met DORA geen eenmalige exercitie. Het up-to-date houden van informatiebeveiliging vereist continue inspanning en bijsturing”, legt Tiekstra uit.
Verschillen tussen de sectoren
DNB ziet duidelijke verschillen in ‘DORA-rijpheid’. Banken lopen voorop, gevolgd door verzekeraars. Pensioenfondsen hebben vaak meer moeite, mede door de parallelle overgang naar het nieuwe pensioenstelsel. “We monitoren de implementatie van DORA over alle sectoren. Uiteindelijk moet iedereen compliant zijn, maar de weg ernaartoe verschilt”, aldus Timmer. Transparantie richting de toezichthouder is daarbij belangrijk. Instellingen die open zijn over knelpunten en duidelijk laten zien welke stappen ze zetten, bouwen vertrouwen op.
DORA als kans
DORA is meer dan een verplichting; het biedt ook kansen. “Voor het eerst gelden uniforme regels in heel Europa, wat samenwerking en kennisdeling eenvoudiger maakt”, vertelt Tiekstra. Timmer benadrukt het belang van DORA voor het vertrouwen in de financiële sector. “De zwakste schakel bepaalt de sterkte van het stelsel. DORA verhoogt de digitale weerbaarheid van de hele sector en daarmee groeit ook het vertrouwen, wat de basis vormt van een stabiele financiële markt.”
Fotocredits: DNB