Digitale weerbaarheid staat hoog op de agenda van financiële instellingen. Met de komst van DORA, NIS2 en aanverwante regelgeving verschuift de aandacht van losse compliance-acties naar structurele beheersing van digitale risico’s binnen de eigen organisatie én in de keten.
Tijdens het SureSync-webinar Digitale weerbaarheid in de financiële keten: van risico naar rapportage deelden Wilco Pieterse (Associate Director Security Compliance bij Protiviti Nederland) en Jan Matto (Partner bij Forvis Mazars Nederland) hun praktijkervaring met Kelly Dake (Business Consultant bij SureSync). De centrale boodschap? Wie digitale weerbaarheid goed organiseert, maakt van compliance geen last, maar een strategisch voordeel.
DORA-rapportage is geen eenmalige verplichting, maar het resultaat van doorlopende processen. Organisaties die digitale weerbaarheid volwassen aanpakken, hebben hun informatieregister, incidentregistratie en leveranciersmonitoring structureel ingericht. Rapportages rollen dan als vanzelf uit de operatie, in plaats van dat ze achteraf worden samengesteld.
Daarbij verschuift de focus van handmatig rapporteren naar sturen op risico’s. Tooling, automatisering en hergebruik van data spelen hierin een belangrijke rol, net als duidelijke processen en eigenaarschap. Compliance wordt zo onderdeel van business as usual.
Een belangrijk thema in het webinar was dat digitale risico’s niet stoppen bij de voordeur. Leveranciers, clouddiensten en vierde partijen zijn onlosmakelijk verbonden met de continuïteit van financiële dienstverlening. Toezichthouders kijken daarom nadrukkelijk naar keten- en concentratierisico’s.
Digitale weerbaarheid wordt daarmee steeds meer een license to operate. Inkooptrajecten vragen expliciet om aantoonbaar vertrouwen; zonder passend bewijs ontstaat frictie of zelfs uitsluiting. Dat vraagt om volledige zichtbaarheid van de leveranciersketen, inclusief vierde partijen, en duidelijke afspraken over minimale eisen en proportionaliteit.
Tegelijkertijd ligt de verantwoordelijkheid expliciet bij het bestuur. Governance draait niet alleen om beleid, maar om het kennen van het actuele dreigingsbeeld, het stellen van de juiste vragen en het organiseren van feedbackloops tussen operatie, risk en board. In het webinar werd benadrukt dat een sterk gepositioneerde CISO met mandaat cruciaal is om regie te voeren, onafhankelijk toezicht te borgen en besluitvorming te versnellen.
Incidenten zijn onvermijdelijk. Het verschil wordt gemaakt in detectie, respons en herstel. Daarom verschuift de aandacht van papieren maatregelen naar dreigingsgestuurd testen, zoals TLPT, TIBER en red teaming. Deze vormen van testen sluiten aan op het eigen dreigingsbeeld en de specifieke afhankelijkheden in het IT-landschap en de keten.
Incidenten worden daarbij niet gezien als falen, maar als leerbron. Transparantie, snelle communicatie en goede nazorg vergroten de aantoonbare weerbaarheid. Zo ontstaat een realistischer beeld van risico’s en wordt continu verbeteren onderdeel van de dagelijkse praktijk.
Bij het beheersen van leveranciersrisico’s draait het om passend en toetsbaar bewijs. ISO/IEC 27001 zegt vooral iets over het managementsysteem; assurance-rapportages geven meer inzicht in de werking van maatregelen over een periode. Daarbij is het essentieel om kritisch naar de scope te kijken. Valt de daadwerkelijk afgenomen dienst wel binnen het certificaat of rapport?
De sprekers benadrukten het belang van continue monitoring en professionele transparantie over incidentafhandeling. Dat maakt risicogestuurde keuzes mogelijk en voorkomt schijnzekerheid.
Om de rapportagelast beheersbaar te houden, helpt een uniform control framework dat is gemapt op DORA, NIS2 en andere relevante kaders. Het principe audit once, report many vermindert audit fatigue, verhoogt consistentie en maakt investeringen gerichter. Door processen te integreren en data te hergebruiken (bijvoorbeeld via geautomatiseerde informatieregisters en XBRL-output) daalt de administratieve druk en neemt de kwaliteit van rapportages toe.
Naast DORA en NIS2 werd ook vooruitgekeken naar de Cyber Resilience Act (CRA). Deze richt zich op producten en verplicht security-by-design en security-by-default, inclusief updateverplichtingen gedurende de volledige levenscyclus. Dit heeft directe impact op productontwikkeling, leverancierskeuzes en contractering.
Wat organisaties nu al kunnen doen:
Het webinar liet zien hoe compliance kan uitgroeien tot commerciële en strategische waarde. Door digitale weerbaarheid centraal te stellen en rapportage te benaderen als output van goed ingerichte processen, ontstaat meer vertrouwen, minder frictie en een aantoonbaar veerkrachtige financiële keten. Wil je het volledige webinar terugkijken? Dat kan hier.