In de vroege stadia van de meeste DORA-programma's zien financiële instellingen compliance vaak als een wettelijke verplichting, een noodzakelijke kost in plaats van een strategische kans. Deze mindset is vooral aanwezig op directieniveau. In de loop van de tijd verandert deze perceptie echter. Zoals een nationale regulator het zegt: "Kapitaal aanhouden is net zo belangrijk als het in orde hebben van je veerkracht. En dan merk je dat bedrijven dit moeten leren. Wat je nog steeds ziet, is dat veel bedrijven DORA op de oude manier benaderen. Veel nadruk op beleid, weinig vertaling naar actie. Dat soort dingen." Deze realisatie markeert vaak een keerpunt, waar DORA van een vinkje-oefening verschuift naar een katalysator voor verbeterde betrouwbaarheid van diensten en klantvertrouwen. Een veelvoorkomende valkuil is een traditionele, beleid-intensieve benadering met beperkte operationele vertaling. Veel organisaties stellen uitgebreide kaders op, maar falen erin om deze op een betekenisvolle manier te integreren in dagelijkse systemen en workflows.

DORA-compliance bestaat zelden op zichzelf. Het loopt vaak parallel aan bredere initiatieven zoals cloudmigratie, dataconsolidatie en digitale transformatie. Maar deze inspanningen bewegen niet altijd in gelijke pas. In sommige gevallen versnellen organisaties de adoptie van de cloud terwijl de datakwaliteit of procesmaturiteit achterblijft. Het resultaat is een disconnectie tussen technische verandering en operationele gereedheid. De geïnterviewde benadrukt: "Bij een bedrijf waar ik mee werkte, moesten ze echt naar de cloud. Dat was noodzakelijk. Dan zie je dat het een project wordt, maar de maturiteit van de organisatie kon niet parallel groeien. Ik denk dat digitale transformatie pas daarna komt. Je moet kunnen experimenteren, veranderen, en hun data was nog niet op orde, of slechts gedeeltelijk." Idealiter zou DORA-implementatie ingebed moeten zijn in het bredere transformatieportfolio, in plaats van als een parallel of secundair project te worden behandeld. Te vaak gebeurt het tegenovergestelde, compliance-teams opereren in isolatie van IT, beveiliging en infrastructuur.

Een terugkerende uitdaging ligt in de interne structuur van veel organisaties. ICT-risico wordt vaak apart beheerd van bredere bedrijfsrisicofuncties, en operationele afdelingen kunnen incidenten onafhankelijk behandelen. Maar DORA is in wezen cross-functioneel: risico, IT, governance en zakelijke eenheden hebben allemaal een rol te spelen. "Wat we merkten, was dat de echte uitdaging de silos in de organisatie waren. Risico deed Risico, en de IT-afdeling behandelde IT-incidenten. En je ziet gewoon dat een onderwerp zoals DORA een overkoepelend onderwerp is. Het valt niet onder een enkele afdeling. Dus je moet samenwerken. En dan krijg je natuurlijk meer uitdagende samenwerking tussen afdelingen." Om dit te navigeren, introduceren instellingen jaarlijkse, gecoördineerde planningscycli op basis van de terugkerende compliance-eisen van DORA. Dit omvat duidelijke deliverables, besluitvormingsmomenten en escalatiewegen. Door incidentrespons, dreigingsinformatie en bedrijfscontinuïteitsprocessen te aligneren over het hele bedrijf, kunnen organisaties sneller en effectiever reageren wanneer nieuwe dreigingen opkomen.

Hoewel crisismanagementprocessen vaak op papier bestaan, ligt de meest voorkomende kloof in het vroegtijdig herkennen van wanneer een regulier incident escaleert naar een DORA-rapportageplichtige crisis. Vertragingen in die beoordeling kunnen aanzienlijke risico's met zich meebrengen en de reactie-inspanningen belemmeren. Sommige organisaties pakken dit aan door intelligente waarschuwingen direct in frontline-tools, zoals helpdesksystemen, te integreren. Bijvoorbeeld, als een supportagent symptomen logt die overeenkomen met vooraf gedefinieerde criteria, kan het systeem een potentiële DORA-incident markeren en de juiste coördinator waarschuwen. Deze vroege triage-mechanisme kan de responstijd dramatisch verminderen en de incidentverwerking tussen afdelingen verbeteren.

Testen van operationele veerkracht is een ander belangrijk vereiste onder DORA, maar de kwaliteit en relevantie van de scenario's zijn van belang. In plaats van te veel nadruk te leggen op veelvoorkomende aanvallen zoals DDoS, die al goed gemitigeerd zijn in veel omgevingen, richten organisaties zich meer op scenario's met hoge impact zoals ransomware, gecompromitteerde failover-omgevingen en cascaderende mislukkingen tijdens back-up replicatie. Even belangrijk is het rekening houden met de maatschappelijke impact van ICT-onderbrekingen. Scenario's die betalingssysteemstoringen of vertragingen in de verwerking van zorgclaims omvatten, worden nu geprioriteerd. Deze brengen niet alleen hoge operationele risico's met zich mee, maar ook aanzienlijke reputatie- en regelgevingsgevolgen.

De inzichten uit dit interview bieden een waardevol venster naar de echte organisatorische en operationele uitdagingen die DORA introduceert en hoe instellingen actief hiermee omgaan. Als je meer wilt leren over het navigeren door het complexe compliance-landschap van DORA, aarzel dan niet om contact met ons op te nemen. Onze specialisten staan klaar om je verder te helpen.