Dataresilienceniveau van financieel dienstverleners schiet tekort

Dit blijkt uit een onderzoek van Censuswide, uitgevoerd in opdracht van Veeam Software. Hoewel DORA een strategische prioriteit is binnen de financiële sector, zijn veel organisaties nog niet volledig compliant. Uit het onderzoek blijkt dat 94% van de ondervraagde Nederlandse organisaties DORA nu hoger op de prioriteitenlijst plaatst dan in de maand voor de deadline. 40% noemt het een ‘topprioriteit voor digitale veerkracht’. De helft van de Nederlandse respondenten (49%) geeft aan dat DORA-vereisten zijn geïntegreerd in bredere programma’s voor veerkracht, terwijl 40% aangeeft dat het een centraal aandachtspunt blijft.

Onbedoelde gevolgen en uitdagingen

Hoewel 97% van de Nederlandse organisaties aangeeft een duidelijk beeld te hebben van de nog te ondernemen stappen, worden velen ook geconfronteerd met onvoorziene uitdagingen. Zo meldt 46% toegenomen stress en druk op IT- en beveiligingsteams, heeft 35% te maken met hogere kosten die door ICT-leveranciers worden doorberekend, en vindt 58% dat de omvang van de digitale regelgeving een belemmering vormt voor innovatie of concurrentie. Daarnaast heeft 26% nog niet het benodigde budget vrijgemaakt om te voldoen aan DORA.

“Het is veelbelovend om te zien dat de meeste organisaties DORA hebben omarmd en er vertrouwen in hebben dat ze eraan kunnen voldoen”, aldus Edwin Weijdema, Field CTO EMEA bij Veeam. “Het bereiken van compliance is een belangrijke eerste stap om ervoor te zorgen dat organisaties veerkrachtig zijn. Maar gezien het huidige complexe dreigingslandschap moet er meer gebeuren. Dit onderzoek toont aan dat veel financiële instellingen nog steeds zien dat hun algehele veerkracht tekort schiet en voor uitdagingen staan om het benodigde budget veilig te stellen, zelfs nu DORA steeds belangrijker wordt. De weg naar operationele veerkracht is langer dan gedacht en het is duidelijk dat het belang van dataveerkracht cruciaal blijft voor het succes van organisaties op de lange termijn.”

Nog geen volledige naleving

Ondanks de prioritering van deze regelgeving binnen Nederlandse organisaties, voldoen ze nog niet allemaal aan de belangrijkste vereisten van DORA. Zo heeft 30% geen herstel- en continuïteitstests ingevoerd, heeft 24% geen incidentrapportage geïmplementeerd, heeft 24% geen DORA-implementatieleider aangewezen, heeft 25% geen digitale operationele veerkrachttests uitgevoerd en heeft 24% back-upintegriteit en veilig dataherstel niet gewaarborgd.

De meest uitdagende DORA-vereiste blijkt het toezicht op risico’s van derden: 31% van de Nederlandse organisaties vindt dit het moeilijkst om te implementeren, al hoeft slechts 20% dit nog te doen. Dit wordt mede veroorzaakt door beperkt inzicht in de activiteiten van derden en de omvang van de netwerken.

Andre Troskie, Field CISO EMEA bij Veeam: “Het is interessant om te zien dat toezicht op derden een specifiek pijnpunt is geworden voor organisaties. Bijna een derde noemt het de meest uitdagende vereiste van DORA en velen pleiten dan ook voor aanvullende richtlijnen voor de implementatie ervan. Risico’s van derden worden vaak over het hoofd gezien als onderdeel van dataweerbaarheid. Daarom is het veelbelovend dat organisaties hun verdedigingsmechanismen ter discussie stellen. Natuurlijk is het essentieel om aan de vereisten te voldoen, maar DORA moet ook organisaties hun weerbaarheid holistisch laten beoordelen, en in dat opzicht lijkt het te slagen.”

Verder vindt 33% van de Nederlandse respondenten dat het ontwerp van DORA verbeterd had kunnen worden om naleving te bevorderen, tegenover een Europees gemiddelde van 22%. Vooral vereenvoudiging, verduidelijking en meer gedetailleerde richtlijnen voor het beheren van risico’s van derden worden genoemd.

Ondersteuning en nieuwe tools

Als reactie op de groeiende behoeften aan gestructureerde veerkrachtstrategieën introduceerde Veeam in samenwerking met McKinsey eerder dit jaar het eerste Data Resilience Maturity Model (DRMM) in de branche. Het Veeam DRMM is gebaseerd op uitgebreid onderzoek en inzichten van meer dan 500 IT-, beveiligings- en operationele leiders en is gevalideerd aan de hand van praktijkervaringen met klanten. Met dit framework kunnen organisaties hun dataveerkracht beoordelen op basis van een cross-functionele aanpak die IT, beveiliging en compliance integreert in één uniforme strategie. Het biedt een duidelijke routekaart voor het verbeteren van de veerkracht en het bereiken van compliance met regelgeving zoals DORA.

Censuswide voerde het onderzoek in opdracht van Veeam uit tussen 5 en 11 juni 2025. Aan het onderzoek namen meer dan 400 senior IT-besluitvormers en heads of compliance bij financiële dienstverleners en banken met meer dan 500 medewerkers deel, waaronder 100 uit Nederland. Het onderzoek werd ook uitgevoerd in Duitsland, Frankrijk en het Verenigd Koninkrijk. Hoewel het Verenigd Koninkrijk geen EU-lidstaat is, werd het land wel opgenomen vanwege de sterke zakelijke banden met EU-landen die onder DORA vallen. Het onderzoek was nationaal representatief.