Veel financiële organisaties hebben hun eerste DORA‑rapportage inmiddels achter de rug. In maart 2025 moest worden aangetoond dat aan de basisverplichtingen werd voldaan. Missie volbracht? Niet helemaal. Wie DORA uitsluitend ziet als een eenmalige rapportageverplichting mist waar het écht om draait: structurele digitale weerbaarheid in een steeds complexere en kwetsbaardere keten. De wetgeving is geen eindstation, maar het startpunt. Juist nu verschuift de aandacht van rapporteren naar blijvend organiseren. En dat vraagt meer dan alleen een vinkje zetten.
Wat DORA (Digital Operational Resilience Act), NIS2 (Network and Information Security 2) en de aankomende Cyber Resilience Act (CRA) gemeen hebben, is dat ze onderstrepen dat de board verantwoordelijk is voor cyberrisico’s. Het is dus niet langer iets van de IT‑afdeling, maar een onderwerp dat thuishoort in de boardroom. Bestuurders zijn verantwoordelijk voor het aantoonbaar op orde hebben van cyberveiligheid. Daarmee wordt digitale weerbaarheid een strategisch thema, vergelijkbaar met financiële continuïteit of reputatierisico.
En dat is niet zonder reden. Cyberincidenten hebben allang bewezen dat ze maatschappelijke en economische impact hebben die ver voorbij de muren van één organisatie reikt.
Een belangrijk kantelpunt in de wetgeving is de verschuiving van cybersecurity naar cyber resilience. Absolute veiligheid bestaat niet meer. Het gaat er niet om óf er iets misgaat, maar wanneer. Wat belangrijk is om je af te vragen:
Praktijkvoorbeelden laten zien wat er mis kan gaan. Stilgelegde fabrieken, ontwrichte logistieke ketens en honderden miljoenen euro’s schade door één incident. Niet alleen voor de getroffen organisatie, maar voor hele sectoren. We zijn digitaal zo met elkaar vervlochten dat de weerbaarheid van één partij direct invloed heeft op vele anderen.
Een van de meest onderschatte onderdelen van DORA is derde‑partij‑ en leveranciersmanagement. Financiële instellingen zijn verplicht hun kritieke IT‑leveranciers in kaart te brengen en de bijbehorende risico’s te beheersen. De reden? Concentratierisico’s. Als meerdere financiële instellingen afhankelijk zijn van dezelfde IT‑dienstverlener, ontstaat een ‘hotspot’. Gaat het daar mis, dan kan een groot deel van de sector tegelijk geraakt worden. Precies dat scenario wil de wetgever voorkomen.
Voor organisaties betekent dit: inzicht krijgen in de gehele digitale supply chain, afspraken herzien met leveranciers en - indien nodig - afscheid kunnen nemen van partijen die onvoldoende weerbaar zijn. Dat is nieuw, complex en vaak confronterend.
Hoewel DORA sectorspecifiek is, staat de wet niet op zichzelf. NIS2 vormt het overkoepelende kader voor essentiële en belangrijke organisaties, terwijl de CRA zich richt op producten en diensten met een digitaal component. In de praktijk zien we organisaties die:
De wetgeving groeit gelaagd en thematisch. Digitale wetgeving bestaat inmiddels uit meer dan 100 wetten. Dat maakt de samenhang niet altijd eenvoudig, maar onderstreept wel één boodschap: digitale risico’s vragen om een integrale benadering.
Waar de eerste DORA‑rapportage misschien vooral draaide om voldoen aan formele eisen, verschuift de aandacht naar iets fundamentelers: aantoonbare effectiviteit. Niet alleen processen en beleidsstukken, maar ook:
Dat vraagt om andere vormen van toetsing, zoals scenario‑denken, dreigingsanalyses en het testen van weerbaarheid in de échte IT‑omgeving. Steeds vaker geldt: wie niet kan laten zien dat hij digitaal betrouwbaar is, verliest zijn license to operate. Niet alleen bij toezichthouders, maar ook bij klanten en ketenpartners.
DORA dwingt financiële organisaties om digitaal volwassen te worden. Niet omdat het moet van de toezichthouder, maar omdat de markt en de samenleving dat verlangen.
Organisaties die DORA en de andere digitale wetten benutten als strategisch raamwerk voor digitale weerbaarheid:
Wie daarentegen blijft hangen in minimale compliance, loopt het risico bij de volgende rapportage, of het volgende incident, alsnog ingehaald te worden door de realiteit. Digitale weerbaarheid is geen vinkje. Het is een doorlopend proces dat nú aandacht vraagt.