Onderzoek: Cybersecuritywetgeving drukt zwaar op de portemonnee van Nederlandse financiële dienstverleners

Amsterdam, 3 februari 2025 – Hoewel de Europese Digital Operational Resilience Act (DORA) organisaties meer veerkracht biedt, blijkt uit nieuw onderzoek van Rubrik dat naleving ook aanzienlijke kosten met zich meebrengt voor bedrijven en hun werknemers.

Het Rubrik Zero Labs rapport, uitgevoerd door Wakefield Research, toont aan dat 40 procent van de financiële organisaties in Nederland de afgelopen twee jaar naar verluidt meer dan een miljoen euro heeft uitgegeven aan de implementatie van regelgeving zoals DORA. Bijna een derde (30%) geeft hierbij aan tussen €501.000-€1.000.000 te hebben uitgegeven. Ondanks de implementatie-inspanningen liggen bedreigingen nog steeds op de loer, waarbij cyberaanvallen door derden de grootste bedreiging (32%) vormt voor de financiële sector, gevolgd door ransomware (30%). Meer dan een kwart (28%) van de CISO’s in de financiële sector ziet softwareleveranciers als een belangrijke zwakke plek voor cybersecurity. Een op de tien CISO’s (10%) noemt bedreigingen van binnenuit, zoals menselijke fouten, als grootste risico voor cybersecurity.

Complexiteit data in de cloud
Even verontrustend is dat meer dan de helft van de CISO’s in de financiële sector (54%) aangeeft dat DORA de druk op hun rol vergroot. Er is behoefte aan een meer empathische aanpak om deze uitdagingen aan te pakken. Opvallend is dat álle ondervraagde CISO’s in de financiële sector (100%) in Nederland de complexiteit van data in de cloud als een probleem beschouwen. Een grote meerderheid (88%) specificeert dit zelfs als een matig tot groot probleem. Op 17 januari 2025 introduceerde DORA een universeel kader met een focus op ICT risicomanagement. Dit kader kan een grote impact hebben op de financiële dienstverlening, gezien financiële instellingen beschikken over de meest gevoelige data van alle sectoren.

Er is ook een grote kloof met de rest van de C-suite als het gaat om het vooropstellen van cyberweerbaarheid. Meer dan driekwart (78%) van de CISO’s in Nederland heeft het gevoel heeft dat hun IT-budget niet volledig wordt weerspiegeld door de doelstellingen van het management om te voldoen aan de wettelijke vereisten, zoals DORA. DORA stelt belangrijke eisen, zoals contractuele waarborgen en noodplannen, om de afhankelijkheid van derden te minimaliseren en risico’s van partners te beperken.

Om de operationele veerkracht te waarborgen, schrijft DORA regelmatig testen van digitale weerbaarheid en aanvalssimulaties voor. De uitkomsten hiervan worden verwerkt in cybersecurityplannen en bieden CISO’s extra zekerheid. Toch is er wel sprake van vertrouwen in de cloud: de meerderheid (64%) van de CISO’s in Nederland is van mening dat de persoonlijke gegevens van hun klanten, partners en werknemers veilig zijn in cloudomgevingen.

Nauwe samenwerking
CISO’s, directies en andere stakeholders moeten nauw samenwerken om te zorgen dat de prioriteiten voor cyberweerbaarheid duidelijk worden vastgesteld, voldoende worden gefinancierd en effectief worden geïmplementeerd. Dit is essentieel om te voldoen aan de veranderende regelgeving en de toekomst van de sector te waarborgen.

“Gezien de toenemende dreiging van ransomware en cyberaanvallen, is de implementatie van regelgeving vereist en kostbaar. Begrijpen welke data het meest kritisch is, waar deze data zich bevindt en wie er toegang toe heeft, is essentieel om cyberrisico’s te identificeren, te beoordelen en te beperken. Als deze maatregelen niet worden gevolgd, lopen organisaties het risico boetes krijgen van de Financial Conduct Authority (FCA)”, zegt James Hughes, VP of Solutions Engineering en Enterprise CTO bij Rubrik.

“Er is een duidelijke kloof tussen het begrip op bestuursniveau en de werkelijkheid. Terwijl de toezichthouders steeds strenger worden, hebben veel CISO’s het gevoel dat hun budget niet de mate van betrokkenheid van het management bij compliance weerspiegelt. Deze kloof brengt niet alleen de security van organisaties in gevaar, maar ook hun vermogen om te voldoen aan de veranderende regelgeving”, voegt Hughes toe.

Methodologie van het rapport
Dit onderzoeksrapport is in opdracht van Rubrik uitgevoerd door Wakefield Research onder 350 CISO’s die werkzaam zijn bij bedrijven met minimaal 500 werknemers in de financiële dienstverlening, exclusief holdings. De respondenten zijn afkomstig uit vijf markten: Verenigd Koninkrijk, Duitsland, Frankrijk, Italië en Nederland. Het onderzoek is uitgevoerd tussen 21 november en 3 december 2024.

Over Rubrik
Rubrik is een cybersecuritybedrijf, en de pionier in Zero Trust Data Security™ om organisaties te ondersteunen weerbaar te worden tegen cyberaanvallen, kwaadwillende insiders en operationele verstoringen. Rubrik Security Cloud, aangedreven door machine learning, beveiligt data over enterprise-, cloud- en SaaS-applicaties. Wij helpen organisaties de integriteit van gegevens te handhaven, databeschikbaarheid te leveren die bestand is tegen ongunstige omstandigheden, voortdurend datarisico’s en -bedreigingen te monitoren en bedrijven te herstellen met hun data wanneer de infrastructuur wordt aangevallen.

Voor meer informatie, kijk op www.rubrik.com en volg @rubrikInc op X, voorheen bekend als Twitter, en Rubrik, Inc. op Linkedin.