Wat heeft Nederland met DORA te winnen?

Als een van de meest gedigitaliseerde landen ter wereld, zit IT in Nederland in de haarvaten van organisatieprocessen. Dat vereist een volwassen vorm van IT-beheersing.

We hebben nog moeite om risico’s te mitigeren rond uitval van IT. Daardoor ontstaan problemen die vroeger ondenkbaar waren. Bijvoorbeeld het voorval van een kaasleverancier, die als gevolg van een computer hack, zodanige leveringsproblemen had, dat er drie weken lang geen kaas in het schap lag bij de grootste supermarktketen van Nederland. 

Waar bedrijfsprocessen (zoals inkoop) eigenlijk nauwelijks aan verandering onderhevig zijn, is dat bij IT voortdurend het geval. Denk aan nieuwe patches of updates van IT-leveranciers of de komst van nieuwe providers. Denk ook aan het verzoek van DNB aan de financiële sector om de risico’s van quantum in kaart te brengen. Heel verstandig, want als we daadwerkelijk te maken krijgen met quantumcomputers, kunnen we de bestaande maatregelen rond IT-beveiliging wel vergeten. 

De komst van DORA is dan ook positief, omdat het organisaties wettelijk verplicht om de IT-beheersing naar een hoger volwassenheidsniveau te brengen. Je kunt stellen dat de wet repareert wat we zelf hebben nagelaten te regelen. Is een organisatie die alle vereisten van DORA afvinkt resilient? Dat is nog maar de vraag. Prima dat voor het aantrekken van een IT-medewerker een VOG nodig is, maar er zijn ook IT’ers die uit hoofde van hun functie alles zien en overal bij kunnen komen. Zouden daar niet zwaardere eisen voor moeten gelden? In het licht van DORA kunnen organisaties dit ook oppakken. 

In Nederland lopen we van oudsher voorop als het om resilience gaat. Nadat als gevolg van de kredietcrisis het nationale toezicht op systeembanken verhuisde naar de ECB, is de kwaliteit van het toezicht niet per se beter geworden. Zeker niet omdat ICT in het toezicht van de ECB, destijds, een ondergeschikte rol speelde. DNB liep met het good practice information security altijd voorop In Nederland. 

Nog een positief inzicht. In het interview met Marcel Prins van Robeco (zie rubriek Klantinterview) kwam de inzet van AI bij de registratie van uitbestedingspartijen ter sprake. In plaats van het handmatig navlooien van honderden contracten blijkt AI de afdeling Legal bijzonder goed te ondersteunen. Op deze manier daagt DORA organisaties uit om hun IT in te zetten voor een grotere weerbaarheid. Lees vooral ook het artikel met Michel Ruijterman van de Volksbank, die aangeeft dat de implementatie van DORA bijdraagt aan een veiligere en robuustere financiële wereld. Mooie voorbeelden!

Lees de artikelen uit deze editie hieronder of download de PDF voor de complete Eye on Finance ervaring.