Zes maanden na invoering DORA zijn veel organisaties nog altijd niet compliant

Dit blijkt uit onderzoek van Censuswide, in opdracht van Veeam Software. 94% van de ondervraagde Nederlandse organisaties heeft DORA hoger op de prioriteitenlijst geplaatst dan in de maand voor de deadline. 40% noemt het een ‘topprioriteit voor digitale veerkracht’. De helft van de Nederlandse respondenten geeft aan dat DORA-vereisten zijn geïntegreerd in bredere programma’s voor veerkracht, terwijl 40% aangeeft dat het een centraal aandachtspunt blijft.

Onvoorziene uitdagingen

Hoewel 97% van de Nederlandse organisaties aangeeft een duidelijk beeld te hebben van de nog te ondernemen stappen, worden velen ook geconfronteerd met onvoorziene uitdagingen. Zo meldt 46% toegenomen stress en druk op IT- en beveiligingsteams, heeft 35% te maken met hogere kosten die door ICT-leveranciers worden doorberekend en is 58% van mening dat de omvang van de digitale regelgeving een belemmering vormt voor innovatie of concurrentie. Daarnaast heeft 26% nog niet het benodigde budget vrijgemaakt om te voldoen aan DORA.

“Het is veelbelovend om te zien dat de meeste organisaties DORA hebben omarmd en er vertrouwen in hebben dat ze eraan kunnen voldoen”, aldus Edwin Weijdema, Field CTO EMEA bij Veeam. “Het bereiken van compliance is een belangrijke eerste stap om ervoor te zorgen dat organisaties veerkrachtig zijn. Maar gezien het huidige complexe dreigingslandschap moet er meer gebeuren. Dit onderzoek toont aan dat veel financiële instellingen nog steeds zien dat hun algehele veerkracht tekort schiet en voor uitdagingen staan om het benodigde budget veilig te stellen, zelfs nu DORA steeds belangrijker wordt. De weg naar operationele veerkracht is langer dan gedacht en het is duidelijk dat het belang van dataveerkracht cruciaal blijft voor het succes van organisaties op de lange termijn.”

Lang niet iedereen voldoet aan de eisen

Ondanks de prioritering van deze regelgeving binnen Nederlandse organisaties, voldoen ze nog niet allemaal aan de belangrijkste vereisten van DORA. Zo heeft 30% geen herstel- en continuïteitstests ingevoerd, heeft 24% geen incidentrapportage geïmplementeerd, heeft 24% geen DORA-implementatieleider aangewezen, heeft 25% geen digitale operationele veerkrachttests uitgevoerd en heeft 24% back-upintegriteit en veilig dataherstel niet gewaarborgd.

De meest uitdagende DORA-vereiste is echter het toezicht op risico’s van derden. 31% van de Nederlandse organisaties vindt dit het moeilijkst om te implementeren. Toch hoeft slechts 20% dit nog te doen. Er zijn hier veel mogelijke redenen voor, van het beperkte inzicht dat veel organisaties hebben in de activiteiten van derden tot de enorme omvang van de netwerken van derden.

33% van de Nederlandse respondenten vindt dat het ontwerp van DORA verbeterd had kunnen worden om naleving te bevorderen. Dit is flink hoger dan het Europese gemiddelde van 22%. Respondenten roepen vooral op tot vereenvoudiging, verduidelijking en meer gedetailleerde richtlijnen voor het beheren van risico’s van derden.

Data Resilience Maturity Model

Als reactie op de groeiende behoeften aan gestructureerde veerkrachtstrategieën, introduceerde Veeam in samenwerking met McKinsey eerder dit jaar het eerste Data Resilience Maturity Model (DRMM) in de branche. Het Veeam DRMM is gebaseerd op uitgebreid onderzoek en inzichten van meer dan 500 IT-, beveiligings- en operationele leiders en is gevalideerd aan de hand van praktijkervaringen met klanten. Met dit framework kunnen organisaties hun dataveerkracht beoordelen op basis van een cross-functionele aanpak die IT, beveiliging en compliance integreert in één uniforme strategie. Het biedt een duidelijke routekaart voor het verbeteren van de veerkracht en het bereiken van compliance met regelgeving zoals DORA.

Andre Troskie, Field CISO EMEA bij Veeam: “Het is interessant om te zien dat toezicht op derden een specifiek pijnpunt is geworden voor organisaties. Bijna een derde noemt het de meest uitdagende vereiste van DORA en velen pleiten dan ook voor aanvullende richtlijnen voor de implementatie ervan. Risico’s van derden worden vaak over het hoofd gezien als onderdeel van dataweerbaarheid. Daarom is het veelbelovend om te zien dat organisaties hun verdedigingsmechanismen ter discussie stellen. Natuurlijk is het essentieel om aan de vereisten te voldoen, maar DORA moet ook organisaties hun weerbaarheid holistisch laten beoordelen, en in dat opzicht lijkt het te slagen.”

Censuswide heeft dit onderzoek in opdracht van Veeam uitgevoerd tussen 5 en 11 juni 2025. Aan het onderzoek namen meer dan 400 senior IT-besluitvormers/Heads of compliance bij financiële dienstverleners/banken met meer dan 500 medewerkers deel, waaronder 100 uit Nederland. Dit onderzoek is ook uitgevoerd in Duitsland, Frankrijk en het Verenigd Koninkrijk. Hoewel het Verenigd Koninkrijk geen EU-lidstaat is, is het land wel opgenomen vanwege de sterke zakelijke banden met EU-landen die onder DORA vallen. Het onderzoek was nationaal representatief.